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VORRICHTUNG 12<mJ 



Die folgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 

@ Kommunikationssystem und -Verfahren 

® Das erfindungsgemafce System umfafct ein virtuelles 
privates Netzwerk (15) und eine externe Vorrichtung 
(12(m)), welche durch ein digitales Netzwerk (14) mitein- 
ander verbunden sind. Das virtuelle private Netzwerk (15) 
weist eine Firewall (30), wenigstens eine interne Vorrich- 
tung (31(s)) und einen Namen-Server (32) auf, welche je- 
weils eine Netzwerkadresse besitzen. Die interne Vorrich- 
tung (31(s)) besitzt auch eine Sekundaradresse, und der 
Namen-Server (32) ist derart konfiguriert, daft er eine Zu- 
ordnung zwischen der Sekundaradresse und der Netz- 
werkadresse bereitstellt. In Reaktion auf eine Anfrage von 
der externen Vorrichtung (12(m)) zum Aufbau einer Ver- 
bindung zur Firewall (30) ubermittelt die Firewall (30) der 
externen Vorrichtung (12(m)) die Netzwerkadresse des 
Namen-Servers (32). In Reaktion auf eine Anfrage von ei- 
nem Bediener oder ahnlichem, welche die Sekundarad- 
resse der internen Vorrichtung (31(s)) enthalt und einen 
Zugriff an die interne Vorrichtung (31(s)) anfordert, er- 
zeugt die externe Vorrichtung (12(m)) eine Netzwerk- 
adresse n-Anf rag en achricht zur Ubertragung uber die Ver- 
bindung an die Firewall (30), welche eine Auflosung der 
Netzwerkadresse, die der Sekundaradresse zugeordnet 
ist, anfordert. Die Firewall (30) ubermittelt die Adressen- 
auflosungsanfrage an den Namen-Server (32), und der 
Namen-Server (32) ubermittelt die Netzwerkadresse, wel- 
che der Sekundaradresse zugeordnet ist, an die Firewall 
(30). Daraufhin stellt die Firewall (30) die Netzwerkadresse 
in einer ... 
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Die Erfindung betrifft allgeniein das Gebiet der digitalen 
Komniunikationssysteme und -verfahren, und insbesondere 
Systenie und Verfahren zum Vereinfachen der Kommunika- 
tion zwischen Vorrichtungen, welche mit offentlichen Netz- 
werken verbunden sind, z. B, dem Internet, und Vorrichtun- 
gen, welche mit privaten Netzwerken verbunden sind. 

Digitale Netzwerke wurden entwickelt, um die Obertra- 
gung von Information, welche auch Daten und Programme 
umfaBt, uber digitale Computersysteme und andere Digital- 
vorrichtungen zu ermoglichen. Es wurde eine Vielzahl von 
Arten von Netzwerken entwickelt und realisiert, einschlieB- 
lich sog. Fernverbindungsnetze (Wide-Area Networks, 
nachfolgend "WAN" genannt) und lokale Netzwerke (Local 
Area Networks, nachfolgend "LAN" genannt), welche eine 
Information unter Verwendung verschiedener Informations- 
ubertragungsmethoden iibermitteln. Im allgemeinen werden 
LANs innerhalb kleiner geographischer Bereiche realisiert, 
z. B. innerhalb eines einzelnen Burogebaudes oder ahnli- 
chem, zum Ubertragen von Information innerhalb eines be- 
stimmten Buros, einer Firma oder einer ahnlichen Art von 
Organisationseinheit. Andererseits werden WANs im allge- 
meinen auf relativ groBen geographischer Bereichen reali- 
siert und konnen verwendet werden, um Information sowohl 
zwischen LANs als auch zwischen Vorrichtungen, welche 
nicht mit LANs verbunden sind, zu ubertragen. Derartige 
WANs umfassen auch offentliche Netzwerke, z. B. das In- 
ternet, welche zur Informationsubertragung zwischen einer 
Anzahl von Unternehmen verwendet werden konnen. 

Es sind mehrere Probleme im Zusammenhang der Kom- 
munikation uber ein Netzwerk aufgetreten, insbesondere in 
einem groBen offentlichen WAN, wie es z. B. das Internet 
ist. Im allgemeinen werden Informationen uber ein Netz- 
werk in Nachrichtenpaketen ubertragen, welche ausgehend 
von einer Vorrichtung, als Quelle bzw Quellenvorrichtung, 
zu einer anderen Vorrichtung, als Ziel bzw. Zielvorrichtung, 
uber einen oder mehrere Router oder allgeniein Schaltungs- 
knoten im Netzwerk ubertragen werden. Jedes Nachrichten- 
pakct cnthalt cine Zicladrcssc, welche von den Schaltungs- 
knoten verwendet wird, um das jeweilige Nachrichtenpaket 
an die geeignete Zielvorrichtung zu ieiten. Z.B. im Internet 
haben solche Adressen die Form von "n"-Bit Zahlen (wobei 
n n" 32 oder 128 scin kann), wobei solche Zahlcnkolonncn 
fiir einen Benutzer schwierig sind zu merken und einzuge- 
ben, wenn die oder der Benutzer die Ubertragung eines 
Nachrichtenpakets veranlassen mochte. Um einen Benutzer 
von der Notwendigkeit zu befreien, sich solche speziflsche 
Zahlen-Internetadressen zu merken und einzugeben, stellt 
das Internet einen zweiten Adressierungsmechanismus be- 
reit, der durch Benutzer der jeweiligen Vorrichtungen einfa- 
cher handzuhaben ist. Bei diesem Adressierungsmechanis- 
mus werden Internet-Domains, wie etwa LANs, Internet- 
Service-Provider (nachfolgend "ISP" genannt) und ahnli- 
che, welche im Internet verbunden sind, durch fur einen Be- 
nutzer relativ einfach les- und merkbare Namen identifiziert, 
die nachfolgend als "Klartextnamen" bezeichnet werden. 
Um den Einsatz von solchen Klartextnamen umzusetzen, 
werden Namen- Server, auch als DNS-Server fur "Domain 
Name Server" bezeichnet, bereitgestellt, um die Klartextna- 
men in die geeigneten Intemetadressen umzuwandeln. 
Wenn ein Bediener einer Vorrichtung, der die Ubertragung 
eines Nachrichtenpakets an eine andere Vorrichtung 
wiinscht, den Klartextnamen der anderen Vorrichtung ein- 
gibt, nimmt die Vorrichtung zuerst Kontakt mit einem Na- 
men-Server auf. Im allgemeinen kann der Namen-Server ein 
Teil des ISP selbst sein oder er kann eine spezielle Vorrich- 
tung sein, welche durch den ISP uber das Internet zugang- 



lich ist; in jedem Fall wird der ISP den Namen-Server iden- 
tifizieren, welcher fur die Vorrichtung zu verwenden ist, 
wenn sich die Vorrichtung beim ISP einloggt, d. h. anmel- 
del. Falls der Namen-Server, nachdem die Vorrichtung einen 
5 Kontakt hergestellt hat, eine Zahlen-Internetadresse fur den 
Klartext-Domainnamen besitzt oder erhalten kann, ubermit- 
telt der Namen-Server die Zahlen-Internetadresse, welche 
dem Klartext-Domainnamen entspricht, zu der Vorrichtung 
des Bedieners. Die Vorrichtung kann sodann die Zahlen-In- 
10 ternetadresse, welche von dem Namen-Server zuriickgesen- 
det wurde, in das Nachrichtenpaket einfugen und das Nach- 
richtenpaket an den ISP fiir die Ubertragung liber das Inter- 
net auf konventioneller Weise liefern. Die Internet- Schal- 
tungsknoten verwenden die Zahlen-Internetadresse, um das 
15 Nachrichtenpaket an die gewunschte Zielvorrichtung zu 
ubermitteln. 

Andere Probleme treten insbesondere in Verbindung mit 
der Ubertragung von Information uber ein offentliches 
WAN, z. B. das Internet, auf. Ein Problem besteht darin, si- 
20 cherzustellen, daB die uber das WAN ubertragene Informa- 
tion, welche die Quellenvorrichtung und die Zielvorrichtung 
vertraulich behalten mochten, auch tatsachlich vertraulich 
bleibt gegenuber moglichen Lauschern, welche die Informa- 
tion abfangen konnen. Um die Vertraulichkeit zu wahren, 
25 wurden verschiedene Formen von Verschliisselung entwik- 
kelt und werden verwendet, um die Information vor der 
Ubertragung durch die Quellenvorrichtung zu verschlusseln 
und die Information nach deren Empfang durch die Zielvor- 
richtung zu entschliisseln. Falls gewunscht wird, daB bei- 
30 spielsweise die gesamte Information, welche zwischen einer 
bestimmten Quellenvorrichtung und einer bestimmten Ziel- 
vorrichtung ubertragen wird, vertraulich bleiben soli, kon- 
nen die Vorrichtungen einen sog. "Sicherheitstunner zwi- 
schen den Vorrichtungen einrichten, der im wesentlichen si- 
35 cherstellt, daB die gesamte Information, welche von der 
Quellenyorrichtung an die Zielvorrichtung ubertragen wird, 
vor der Ubertragung verschlusselt wird (mit Ausnahme von 
bestimmten Protokollinformationen, wie Adresseninforma- 
tion, welche den FluB von Netzpaketen uber das Netzwerk 
40 zwischen der Qucllcn- und Zielvorrichtung stcucrt), und daB 
die verschlusselte Information vor der Verwendung durch 
die Zielvorrichtung entschliisselt wird. Die Quellen- und 
Zielvorrichtungen konnen jeweils fur sich eine Verschliisse- 
lung bzw. Entschlussclung durchfuhrcn, oder die Vcrschliis- 
45 selung und Entschlusselung kann durch andere Vorrichtun- 
gen durchgefiihrt werden, bevor die Nachrichtenpakete uber 
das Internet ubertragen werden. 

Ein weiteres Problem, welches insbesondere im Zusam- 
menhang mit Unternehmen, Regierungsarntern und privaten 
50 Qrganisationen auftritt, deren private Netzwerke, welche 
LANs, WANs oder elwaige Kombinationen derselben sein 
konnen, mit offentlichen WANs, z. B. dem Internet, verbun- 
den sind, besteht darin, sicherzustellen, daB deren private 
Netzwerke sicher sind gegenuber anderen Netzwerken, zu 
55 welchen z. B. die Unternehmen keinen Zugriff haben moch- 
ten, oder einen Zugriff durch andere zu regulieren und zu 
kontrollieren, zu welchen z. B. die jeweiligen Organisatio- 
nen einen begrenzten Zugriff haben mochten. Um dies um- 
zusetzen, verbinden die Organisationen in der Regel ihre 
60 privaten Netzwerke mit offentlichen WANs uber eine be- 
grenzte Anzahl von Gateways, welche manchmal als "Fire- 
walls" bezeichnet werden, durch welche der gesamte Netz- 
verkehr zwischen dem internen und dem offentlichen Netz- 
werk laufL In der Regel sind Netzwerkadressen von Do- 
65 mains und Vorrichtungen in dem privaten Netzwerk "hinter" 
der Firewall den Namen-Servem bekannt, welche in den pri- 
vaten Netzwerken vorgesehen sind; sie sind aber nicht zu- 
ganglich fur Namen-Server oder andere Vorrichtungen au- 
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Berhalb der privaten Netzwerke, was die Kommunikation 
zwischen einer Vorrichtung auBerhalb des privaten Netz- 
werkes und einer Vorrichtung innerhalb des privaten Netz- 
werkes schwierig macht. 

Ein Ziel der vorliegend Erfindung ist es, hier Abhilfe zu 5 
schaffen. 

Dieses Ziel erreicht die Erfindung durch die Gegenstande 
der Anspriiche 1, 7 und 13. Bevorzugte Ausfuhrungsbei- 
spiele der Erfindung sind in den jeweils abhangigen Anspru- 
chen beschrieben. 10 

Danach scharTt die Erfindung ein neuartiges und verbes- 
sertes System und ein Verfahren zum Vereinfachen von 
Kommunikation zwischen Vorrichtungen, welche mit 6f- 
fentlichen Netzwerken, z. B. dem Internet, verbunden sind, 
und Vorrichtungen, welche mit privaten Netzwerken ver- 15 
bunden sind, wobei die Auflosung von Sekundaradressen, 
wie etwa Text- bzw. Klartextnamen im Internet, in die zuge- 
horigen Netzwerkadressen durch Namen-Server oder ahnli- 
che Vorrichtungen, die mit den privaten Netzwerken ver- 
bunden sind, ermoglicht wird. 20 

Hierfur stellt die Erfindung ein System zur Verfugung mit 
einem virtuellen Privaten Netzwerk und einer externen Vor- 
richtung, welche durch ein digitales Netzwerk miteinander 
verbunden sind, sowie ein Kommunikationsverfahren und 
ein Computerprogrammprodukt zum gemeinsamen Verwen- 25 
den mit einem derartiges System. Das virtuelle private Netz- 
werk weist eine Firewall bzw. ein Firewall-System, wenig- 
stens eine interne Vorrichtung und einen Namen-Server auf, 
welche jeweils eine Netzwerkadresse besitzen. Die interne 
Vorrichtung besitzt femer eine Sekundaradresse, und der 30 
Namen-Server ist derart konfiguriert, daB er eine Zuordnung 
zwischen der Sekundaradresse und der Netzwerkadresse be- 
reitsteilt. In Reaktion auf eine Anfrage von der externen 
Vorrichtung zum Aufbau einer Verbindung zur Firewall 
ubermittelt die Firewall der externen Vorrichtung die Netz- 35 
werkadresse des Namen-Servers. In Reaktion auf eine An- 
frage von . einem Bediener oder ahnlichem, welche die Se- 
kundaradresse der internen Vorrichtung enthalt und einen 
Zugriff an die interne Vorrichtung anfordert, erzeugt die ex- 
tcmc _ Vorrichtung cine Nctzwcrkadrcsscn-Anfragcnachricht 40 
zur Ubertragung uber die Verbindung an die Firewall, wel- 
che eine Auflosung der Netzwerkadresse, die der Sekunda- 
radresse zugeordnet ist, anfordert. Die Firewall ubermittelt 
die Adrcsscnauflosungsanfragc an den Namen-Server und 
der Namen-Server ubermittelt die Netzwerkadresse, welche 45 
der Sekundaradresse zugeordnet ist, an die Firewall. Darauf- 
hin stellt die Firewall die Netzwerkadresse in einer Nelz- 
werkadressenantwortnachricht zur Ubertragung uber die 
Verbindung an die exteme Vorrichtung bereit. Die externe 
Vorrichtung kann sodann die auf diese Weise bereitgestellte 50 
Netzwerkadresse in nachfolgenden an die interne Vorrich- 
tung gerichtete Kommunikationen mit der Firewall verwen- 
den. 

Weitere Vorteile und Ausgestaltungen der Erfindung erge- 
ben sich aus der nachfolgenden detaillierten Beschreibung 55 
eines bevorzugten Ausfuhrungsbeispieis. In der Beschrei- 
bung wird auf die beigefugte schematische Zeichnung Be- 
zug genommen. Darin zeigt: 

Fig. 1 ein funktioneiles Blockdiagramm eines erfindungs- 
gemaBen Netzwerkes. 60 

Fig. 1 zeigt ein funktioneiles Blockdiagramm eines Netz- 
werkes 10, welches gemaB der vorliegenden Erfindung auf- 
gebaut ist. Das Netzwerk 10 gemaB Fig. 1 umfaBt einen In- 
ternet-Service-Provider (nachfolgend "ISP") 11, welcher die 
tJbertragung von Nachrichtenpaketen zwischen einer oder 65 
mehreren Vorrichtungen 12(1) bis 12(M) (nachfolgend all- 
gemeinen mit dem Bezugszeichen 12(m) identifiziert), wel- 
che mit dem ISP 11 verbunden sind, und anderen Vorrich- 



tungen, welche allgemein durch ein Bezugszeichen 13 ge- 
kennzeichnet sind, uber das Internet 14 ermoglicht, wobei 
die Obertragung von Information in Nachrichtenpaketen 
zwischen den Vorrichtungen 12(m) und 13 realisiert wird. 
Der ISP 11 verbindet das Internet 14 uber eine oder mehrere 
logische Verbindungen oder Gateways oder ahnlichem (im 
vorliegenden allgemein als "Verbindungen" bezeichnet), 
welche allgemein durch das Bezugszeichen 41 gekennzeich- 
net sind. Der ISP 11 kann ein orTentlicher ISP sein, welcher 
in diesem Falle die Verbindung mit Vorrichtungen 12(m) 
herstellt, welche durch Bediener betrieben werden konnen, 
die der allgemeinen Offentlichkeit angehoren, so daB diese 
Bediener Zugang zu dem Internet erlangen. Alternativ dazu 
kann der ISP 11 ein privater ISP sein. In diesem Falle wer- 
den die damit verbundenen Vorrichtungen 12(m) im allge- 
meinen beispielsweise durch Angestellte eines bestimmten 
Unternehmens oder einer Regierungseinrichtung, Mitgiie- 
dern von einer privaten Organisation oder ahnlichen betrie- 
ben, um diesen Angestellten oder Mitgiieder einen Zugang 
in das Internet bereit zu stellen. 

In an sich konventioneller Weise weist das Internet ein 
Netz von Schaltungsknoten auf (welche nicht separat darge- 
stellt sind), welche die ISPs 11 und die Vorrichtungen 13 
miteinander verbinden, um dazwischen die Ubertragung 
von Nachrichtenpaketen zu ermdglichen. Die Nachrichten- 
pakete, welche uber das Internet 14 ubertragen werden, 
stimmen mit denjenigen uberein, welche durch das sog. In- 
ternetprotokoll (IP) definiert werden, und umfassen einen 
Kopfabschnitt, einen Datenabschnitt und konnen einen Feh- 
lererfassungs- und/oder Korrekturabschnitt aufweisen. Der 
Kopfabschnitt enthalt Information, welche verwendet wird, 
um das Nachrichtenpaket iiber das Internet 14 zu ubertra- 
gen, beispielsweise eine Zieladresse, welche die Vorrich- 
tung identifiziert, welche das Nachrichtenpaket als Zielvor- 
richtung empfangen soli, und eine Quellenadresse, welche 
diejenige Vorrichtung identifiziert, welche das Nachrichten- 
paket erzeugt hat. In jedem Nachrichtenpaket haben die 
Ziel- und Quellenadresse jeweils die Form einer Zahl, wel- 
che eindeutig die jeweilige Ziel- bzw. Quellenvorrichtung 
identifiziert. Die Schaltungsknoten im Internet 14 verwen- 
den wenigstens die Zieladresse eines jeweiligen Nachrich- 
tenpaketes, um das jeweilige Nachrichtenpaket an die Ziel- 
vorrichtung zu ubermitteln, wenn die Zielvorrichtung an das 
Internet angcschlosscn ist, oder an einen ISP 11 oder andcrc 
Vorrichtungen, welche an das Internet 14 angeschlossen 
sind, welche sodann das Nachrichtenpaket an das geeignete 
Ziel senden werden. Der Datenabschnitt eines jeden Nach- 
richtenpakets enthalt die in dem Nachrichtenpaket ubertra- 
genen Daten; und der Fehlererfassungs- und/oder Korrek- 
turabschnitt enthalt Fehlererfassungs- und/oder Korrektur- 
informalionen, welche verwendet werden konnen, um zu 
verifizieren, daB das Nachrichtenpaket in korrekter Weise 
von der Quelle zu der Zielvorrichtung ubertragen wurde (im 
Fall der Fehlererfassungsinformation), und um ausgewahlte 
Arten von Fehlern zu korrigieren, falls das Nachrichtenpa- 
ket nicht korrekt ubertragen wurde (im Falle der Fehlerkor- 
rekturinf ormation) . 

Die Vorrichtungen 12(m), welche mit dem ISP 11 verbun- 
den sind, konnen jede beliebige Anzahl von Arten von Vor- 
richtungen umfassen, welche uber das Internet 14 mit ande- 
ren Vorrichtungen 13 kommunizieren, umfassend z. B. Per- 
sonalcomputer, Computer-Workstations und ahnliches. Jede 
Vorrichtung 12(m) kommuniziert mit dem ISP U, um Nach- 
richtenpakete fur die Ubertragung uber das Internet 14 an 
diesen zu ubertragen, oder um Nachrichtenpakete, welche 
durch den ISP 11 uber das Internet empfangen werden, von 
diesem zu empfangen. Dabei kann jedes geeignete Protokoll 
verwendet werden, z. B. das bekannte Point-to-Point Proto- 
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koll (ailgemein mit "PPP" abgekurzt), falls die Vorrichtung 
12(m) uber eine Point- to-Point Verbindung mit dem ISP 11 
verbunden ist, oder irgendein konventionelles "Multi-Drop" 
Protokoll, falls die Vorrichtung 12(m) mit dem ISP 11 uber 
ein "Multi-Drop"-Netzwerk, z. B. das Ethernet, verbunden 
ist, oder ahnliches. Die Vorrichtungen 12(m) sind im ailge- 
meinen entsprechend der ublichen Computerarchitektur mit 
gespeicherten Programmen aufgebaut, welche z. B. eine Sy- 
stemeinheit, eine Bildschirmanzeigeeinheit und Bediener- 
eingabeeinrichtungen, wie etwa eine Tastatur oder eine 
Maus, umfaBt. Eine Systemeinheit weist im allgemeinen 
eine oder mehrere Prozessor-, Speicher-, Massenspeicher- 
einrichtungen, z. B. Festplatten- und/oder Bandspeicherele- 
mente, oder andere Elemente (nicht separat gezeigt) auf, wie 
etwa Netzwerk- und/oder Telephonschnittstelleneinrichtun- 
gen, urn die jeweilige Vorrichtung an den ISP 11 anzukop- 
peln. Die Prozessor- bzw. Verarbeitungseinrichtungen verar- 
beiten Programme, einschlieBlich Anwendungsprogramme, 
unter der Steuerung eines Betriebssy stems, um verarbeitete 
Daten zu erzeugen. Die Bildschirmeinheit ermoglicht es der 
Vorrichtung, die verarbeiteten Daten und einen Verarbei- 
tungsstatus der Daten dem Benutzer anzuzeigen, und die 
Bedienereingabeeinrichtung ermoglicht es dem Bediener, 
Daten einzugeben und die Verarbeitung zu steuern. 

Diese Elemente der Vorrichtung 12(m) arbeiten in Ver- 
bindung mit einer geeigneten Programmierung so zusam- 
men, um eine Vorrichtung 12(m) mit einer Anzahl von funk- 
tionellen Elementen bereit zustellen, beispielsweise eine 
Bedienerschnittstelle 20, eine Netzwerkschnittsteile 21, ei- 
nen Nachrichtenpaketgenerator 22, einen Nachrichtenpaket- 
empfanger und -prozessor 23, eine ISP Einloggsteuerung 
bzw. Anmeldungssteuerung 24, einen Internetparameter- 
speicher 25 und im Zusammenhang mit der vorliegenden 
Erfindung einen Sicherheits-Nachrichtenpaketprozessor 26. 
Die Bedienerschnittstelle 20 ermoglicht, daB die Vorrich- 
tung 12(m) Eingabeinformationen von der/den Bedienerein- 
gabevorrichtung(en) der Vorrichtung 12(m) empfangt und 
die Ausgabeinformationen dem Bediener auf der/den Bild- 
schinneinrichtung(en) der Vorrichtung 12(m) angezeigt 
wcrdcn. Die Netzwerkschnittsteile 21 ermoglicht cine Ver- 
bindung der Vorrichtung 12(m) mit dem ISP 11 unter Ver- 
wendung des geeigneten PPP oder Netzwerkprotokolls, um 
Nachrichtenpakete an den ISP U zu ubertragen und von die- 
scm Nachrichtenpakete zu empfangen. Die Netzwerk- 
schnittsteile 21 kann eine Verbindung mit dem ISP 11 uber 
das dffentliche Telefonnetz vorsehen, um einen Wahlverbin- 
dungsnelzwerkbetrieb (sog. Dial-Up Belrieb) der Vorrich- 
tung 12(m) uber das bffentliche Telefonnetz zu ermogli- 
chen. Alternativ oder zusatzlich dazu kann die Netzwerk- 
schnittsteile 21 eine Verbindung durch den ISP 11 uber bei- 
spielsweise ein konventionelles LAN ermoglichen, wie 
etwa das Ethernet. In Reaktion auf eine durch die Bediener- 
schnittstelle 20 gelieferte Eingabe und/oder in Reaktion auf 
Anfragen aus Programmen (nicht gezeigt), welche durch die 
Vorrichtung 12(m) verarbeitet werden, kommuniziert die 
ISP Einloggsteuerung 24 uber die Netzwerkschnittsteile 21, 
um die Initialisierung (sog. "Log-On") einer Kommunikati- 
onssitzung zwischen der Vorrichtung 12(m) und dem ISP 11 
zu ermoglichen. Wahrend dieser Kommunikationssitzung 
kann die Vorrichtung 12(m) Information in der Form von 
Nachrichtenpaketen an andere Vorrichtungen uber das Inter- 
net 14 sowie an andere Vorrichtungen 12(m*) (wobei m' ^ 
m), welche mit der ISP 11 oder mit anderen ISPs verbunden 
sind, ubertragen. Wahrend eines Log-On-Betriebs empfangt 
die ISP Einloggsteuerung 24 die Internetprotokollparameter 
(IP-Parameter), welche im Zusammenhang mit einer Nach- 
richtenpaketerzeugung wahrend der Kommunikationssit- 
zung verwendet werden. 
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Wahrend einer Kommunikationssitzung erzeugt der 
Nachrichtenpaketgenerator 22 Nachrichtenpakete zur t)ber- 
tragung durch die Netzwerkschnittsteile 21 in Reaktion auf 
eine Eingabe, welche durch den Bediener uber die Bediener- 
5 schnittstelle 20 geliefert wird und/oder in Reaktion auf An- 
fragen aus Programmen (nicht separat gezeigt), welche 
durch die Vorrichtung 12(m) verarbeitet werden. Die Netz- 
werkschnittsteile 21 empfangt auch Nachrichtenpakete aus 
dem ISP 11 und liefert diese an den Nachrichtenpaketemp- 
10 fanger und -prozessor 23 zur Verarbeitung und Bereitstel- 
lung an die Bedienerschnittstelle 20 und/oder anderen Pro- 
grammen (nicht gezeigt), welche durch die Vorrichtung 
12(m) verarbeitet werden. Falls die empfangenen Nachrich- 
tenpakete eine Information enthalten, z. B. Web-Seiten oder 
15 ahnliches, welche dem Bediener angezeigt werden soli, 
kann die Information der Bedienerschnittstelle 20 geliefert 
werden, damit die Information auf der Bildschirmeinheit der 
Vorrichtung angezeigt wird. Zusatzlich oder alternativ dazu 
kann die Information an andere Programme (nicht gezeigt) 
20 zur Verarbeitung geliefert werden, welche durch die Vor- 
richtung 12(m) verarbeitet werden. 

Im allgemeinen konnen die Elemente, wie die Bediener- 
schnittstelle 20, der Nachrichtenpaketgenerator 22, der 
Nachrichtenpaketempfanger und -prozessor 23, die ISP Ein- 

25 loggsteuerung 24 und der Internetparameterspeicher 25 Ele- 
mente eines konventionellen Internet-Browsers enthalten, 
wie die von Mosaic, Netscape Navigator und Microsoft In- 
ternet Explorer. 

Wie es oben erwahnt wurde, weist die Vorrichtung 12(m) 
30 im Zusammenhang mit der vorliegenden Erfindung einen 
Sicherheits-Nachrichtenpaketprozessor 26 auf. Der Sicher- 
heits-Nachrichtenpaketprozessor 26 ermoglicht den Aufbau 
und Verwendung eines "Sicherheitstunnels" zwischen der 
Vorrichtung 12(m) und anderen Vorrichtungen 12(m') (wo- 
35 bei m* * m) oder 13, wie es welches weiter unten beschrie- 
ben wird. Im allgemeinen wird in einem solchen Sicher- 
heitstunnel Information in wenigstens dem Datenabschnitt 
der zwischen der Vorrichtung 12 (m) und einer spezifischen 
anderen Vorrichtung 12(m') (wobei m' * m) oder 13 uber- 
40 tragenen Nachrichtenpakete gchcimgchaltcn, beispielsweise 
durch Verschlusselung des Datenabschnittes vor der Uber- 
tragung durch die Quellenvorrichtung. Die Information in 
anderen Abschnitten eines derartigen Nachrichtenpakets 
kann cbcnfalls gchcimgchaltcn wcrdcn, mit Ausnahmc der 
45 Information, welche benotigt wird, um die Ubertragung des 
jeweiligen Nachrichtenpakets zwischen den Vorrichtungen 
zu ermoglichen, also z. B. wenigstens die Zielinfonnation, 
damit die Schaltungsknoten des Internets und die ISPs die 
Vorrichtung identifizieren konnen, welche das Nachrichten- 
50 paket empfangen soil. 

Zusatzlich zu dem ISP 11 kann eine Vielzahl von anderen 
ISPs die Verbindung zum Internet hersteilen, wie es durch 
die Pfeile 16 angedeutet ist, um eine Kommunikation zwi- 
schen Vorrichtungen, welche an diesen anderen ISPs ange- 
55 schlossen sind, mit anderen Vorrichtungen uber das Internet 
zu ermoglichen, welche die Vorrichtungen 12(n), welche an 
dem ISP 11 angeschlossen sind, umfassen konnen. 

Die Vorrichtungen 13, auf welche die Vorrichtungen 
12(m) zugreifen und mit welchen diese kommunizieren, 
60 konnen auch von jeder beliebigen Anzahl von Arten von 
Vorrichtungen sein, einschlieBlich Personalcomputer, Com- 
puter-Workstations und ahnliches, oder auch Minicomputer 
und GroBrechner, GroBspeichersysteme, Rechenserver, lo- 
kale Netzwerke (LANs) und Femverbindungsnetzwerke 
65 (WANs), welche derartige Vorrichtungen und zahlreiche an- 
dere Arten von Vorrichtungen enthalten, die direkt oder in- 
direkt mit den Netzwerken verbunden werden konnen. Nach 
der vorliegenden Erfindung umfaBt wenigstens eine der \for- 
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richtungen wenigstens ein privates Netzwerk, welches als 
virtuelles privates Netzwerk 15 gekennzeichnet ist und z. B. 
die Form eines LAN oder eines WAN haben kann. Das vir- 
tuelle private Netzwerk 15 kann jede der Vorrichtungen 
12(m') (wobei m' ^ m) aufweisen (wobei die Verbindung 5 
zu dem Internet 14 uber einen ISP erfolgt) oder der Vorrich- 
tungen 13 (wobei die Verbindung zu dem Internet 14 unmit- 
telbar erfolgt). Bei dem vorliegend beschriebenen Ausfiih- 
rungsbeispiel wird angenommen, daB das virtuelle Netz- 
werk 15 eine Vorrichtung 13 aufweist. Das virtuelle private 10 
Netzwerk 15 urnfafit selbst mehrere Vorrichtungen, welche 
hier als eine Firewall bzw. ein Firewall-System 30, mehrere 
Server 31(1) bis 31(S) (im nachfolgenden allgemein mil 
dem Bezugszeichen 31(s) angegeben) und ein Namen-Ser- 
ver 32 gekennzeichnet sind, wobei allesamt durch eine 15 
Ubertragungsverbindung 33 miteinander verbunden sind. 
Die Firewall 30 und die Server 31(s) konnen ahnlich sein 
wie jede der verschiedenen Art en von Vorrichtungen 12(m) 
und 13, die hier beschrieben sind, und konnen daher bei- 
spieisweise umfassen Personalcomputer, Computer- Work- 20 
stations und ahnliches, aber auch Minicomputer und GroB- 
rechner, GroBspeichersysteme, Rechenserver, lokale Netz- 
werke (LANs) und Femverbindungsnetzwerke (WANs), 
welche derartige Vorrichtungen und zahlreiche andere Arten 
von Vorrichtungen umfassen, welche direkt oder indirekt 25 
mit den Netzwerken verbunden werden konnen. 

Wie oben ausgefuhrt wurde, kommunizieren diese Vor- 
richtungen einschlieBlich der Vorrichtungen 12(m) und der 
Vorrichtungen 13 durch Ubertragung von Nachrichtenpake- 
ten tiher das Internet Die Vorrichtungen 12(m) und 13 kon- 30 
nen Information in einem Peer-to-Peer bzw. gleichrangigem 
Modus, in einem Client-Server Modus oder nach beiden die- 
ser Modi ubertragen. Im allgemeinen ubertragt eine Vorrich- 
tung in einer Peer-to-Peer Nachrichtenpaketubertragung In- 
formation in einem oder mehreren Nachrichtenpaketen an 35 
die andere Vorrichtung. Andererseits kann eine Vorrichtung, 
welche in einem Client-Server Modus als Client fungiert, 
ein Nachrichtenpaket an eine andere Vorrichtung ubertra- 
gen, welche als Server fungiert, um bei spiels weise einen 
Dicnst durch die andere Vorrichtung auszuloscn. Mchrcrc 40 
Arten derartiger Dienste sind dem Fachmann bekannt, bei- 
spielsweise das Wiedergewinnen bzw. Auslesen von Infor- 
mation aus der anderen Vorrichtung, damit diese aktiviert 
wird, um Vcrarbcitungsopcrationcn und dcrglcichcn durch- 
zufuhren. Falls der Server dazu dient, dem Client vor allem 45 
Informationen zu liefem, kann dieser allgemein als ein Spei- 
cherserver bezeichnet werden. Falls der Server andererseits 
Verarbeitungsoperationen auf Anfrage des Client ausfuhren 
soli, kann dieser allgemein als ein Rechnerserver bezeichnet 
werden. Andere Arten von Servem zum Ausfuhren von an- 50 
deren Arten von Diensten und Operationen auf Anfrage von 
Clients sind dem Fachmann ebenfalls bekannt. 

Wenn in einer Client-Server Anordnung eine Vorrichtung 
12(m) einen Dienst durch beispielsweise eine Vorrichtung 
13 ausgefuhrt haben mochte, erzeugt die Vorrichtung 12(m) 55 
eines oder mehrere Anfragenachrichtenpakete zur Ubertra- 
gung an die Vorrichtung 13, welche den benotigten Dienst 
anfordern. Das Anfragenachrichtenpaket enthalt die Inter- 
netadresse der Vorrichtung 13, welche als die Zielvorrich- 
tung das Nachrichtenpaket empfangt und den Dienst aus- 60 
fuhrt. Die Vorrichtung 12 (m) ubertragt das/die Anfragen- 
achrichtenpakete) an den ISP 11. Der ISP 11 ubertragt dar- 
aufhin das Nachrichtenpaket uber das Internet an die \for- 
richtung 13. 

Falls die Vorrichtung 13 die Form eines WAN oder LAN 65 
hat, empfangt das WAN oder LAN das/die Nachrichtenpa- 
ket(e) und leitet dieses/diese zu einer dort angeschlossenen 
Vorrichtung weiter, welche den angeforderten Dienst aus- 



fuhren soil. 

In jedem Fall wird die Vorrichtung 13, welche den ange- 
forderten Dienst ausfuhren soil, nach Empfang des/der An- 
fragenachrichtenpakete) die Anfrage bearbeiten. Falls die 
Vorrichtung 12(m), welche das/die Anfragenachrichtenpa- 
kete) erzeugt hat, oder deren Bediener die notwendigen Be- 
fugnisse hat, um den Dienst von der Vorrichtung 13 anzufor- 
dern, und falls der angeforderte Dienst die Einleitung einer 
Informationsiibertragung aus der Vorrichtung 13 als ein 
Speicherserver an die Vorrichtung 12(m) als ein Client um- 
faBt, erzeugt die Vorrichtung 13 eines oder mehrere Ant- 
wortnachrichtenpakete, welche die angeforderten Informa- 
tion enthalten, und ubertragt das/die Paket(e) uber das Inter- 
net 14 an den ISP 11. Daraufhin ubertragt der ISP 11 das/die 
Nachrichtenpaket(e) an die Vorrichtung 12(m). Falls ande- 
rerseits der angeforderte Dienst die Einleitung eines Verar- 
beitungsvorganges durch die Vorrichtung 13 als ein Rechen- 
server beinhaltet, wird die Vorrichtung 13 den/die angefor- 
derten Rechendienst(e) ausfuhren. Falls die Vorrichtung 13 
verarbeitete Daten, welche wahrend den Rechenvorgangen 
erzeugt wurden, an die Vorrichtung 12(m) als Client zuruck- 
senden soil, erzeugt die Vorrichtung 13 zusatzlich eines oder 
mehrere Antwortnachrichtenpakete, welche die verarbeite- 
ten Daten enthalten und ubertragt das/die Paket(e) uber das 
Internet 14 an den ISP 11. Der ISP 11 ubertragt daraufhin 
das/die Nachrichtenpaket(e) an die Vorrichtung 12(m). Hnt- 
sprechende Operationen konnen durch die Vorrichtungen 
12(m) und 13, dem ISP 11 und dem Internet 14 in Verbin- 
dung mit anderen Arten von Diensten ausgefuhrt werden, 
welche durch die Server- Vorrichtungen 13 bereitgestellt 
werden konnen. 

Wie oben angemerkt wurde, enthalt jedes Nachrichtenpa- 
ket, welches durch die Vorrichtungen 12(m) und 13 zur 
t Jbertragung uber das Internet 14 erzeugt wird, eine Ziel- 
adresse, welche von den Schaltungsknoten verwendet wird, 
um das jeweilige Nachrichtenpaket an die geeignete Ziel- 
vorrichtung zu leiten. Adressen im Internet haben die Form 
von V'-Bit Zahlen (wobei "n" beim gegenwartigen Stan- 
dard 32 oder 128 sein kann). Um insbesondere einen Bedie- 
ner einer Vorrichtung 12(m) von der Notwcndigkcit zu bc- 
freien, sich spezifische Zahlenkolonnen bzw. Zahlen-Inter- 
netadressen zu merken und diese der Vorrichtung 12(m) ein- 
zugeben, um die Erzeugung eines Nachrichtenpakets zur 
Ubertragung uber das Internet cinzulcitcn, stcllt das Internet 
einen zweiten Adressierungsmechanismus zur Verfugung, 
welcher einfacher durch menschliche Bediener der jeweili- 
gen Vorrichtungen handhabbar ist. Bei diesem Adressie- 
rungsmechanismus werden Internet-Domains, wie etwa 
LANs, Internet-Service-Provider (ISPs) und ahnliche, wel- 
che in bzw. mit dem Internet verbunden sind, durch relativ 
einfach les- und merkbare Namen, sog. Klartextnamen, 
identifiziert. Dabei soli sich hier die Bezeichnung "Klartext- 
name" auf jede Art von Namenstext beziehen, z. B. auch auf 
Abkurzungen, generische Bezeichnungen, Phantasiebe- 
griffe, etc. Um das System der Klartext-Domainnamen um- 
zusetzen, ist der ISP 11 mit einem Namen-Server 17 (der 
auch als ein DNS Server (Domain Name Server) bezeichnet 
werden kann) verbunden, welcher die Klartext-Domainna- 
men auflosen bzw. in eine giiltige Internetadresse umwan- 
deln kann, um die geeignete Internetadresse fur das in dem 
jeweiligen Klartextnamen angegebene Ziel bereitzustellen. 
Im allgemeinen kann der Namen-Server ein Teil des ISP 11 
oder damit direkt verbunden sein, wie es in Fig, 1 gezeigt 
ist, oder er kann eine bestimmte Vorrichtung sein, welche 
durch den ISP iiber das Internet zuganglich ist. Jedenfalls 
wenn sich die Vorrichtung 12(m) bei dem ISP 11 wahrend 
einer Kommunikationssitzung einloggt, wird der ISP 11, 
wie oben hingewiesen wurde, verschiedene Intemet-Proto- 
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kollparameter (IP-Parameter) zuordnen, welche die Vorrich- 
tung 12(m) wahrend der Komrnunikationssitzung verwen- 
det, und welche in dem Internetparameterspeicher 25 ge- 
speicheri sind. Diese IP-Parameter enthalten Informationen, 
wie 

(a) eine Internetadresse fur die Vorrichtung 12(m), 
welche die Vorrichtung 12(m) wahrend der Kommu- 
niationssitzung identifiziert; und 

(b) die Identifizierung eines Namen-Servers 17, wel- 
chen die Vorrichtung 12(m) wahrend der Komrnunika- 
tionssitzung verwendet. 

Wenn die Vorrichtung 12(rn) Nachrichtenpakete zur 
tJbertragung erzeugt, fugt sie ihre Internetadresse (obiger 
Punkt (a)) als die Quellenadresse ein. Die Vorrichtung(en) 

13, welche die jeweiligen Nachrichtenpakete empfangt/ 
empfangen, kann/konnen die Quellenadresse aus den Nach- 
richtenpaketen, welche von der Vorrichtung 12(m) empfan- 
gen werden, in Nachrichtenpaketen verwenden, welche die 
Vorrichtung(en) 13 zur Ubertragung an die Vorrichtung 
12(m) erzeugt/erzeugen, so daB das Internet in der Lage ist, 
die durch die jeweilige Vorrichtung 13 erzeugten Nachrich- 
tenpakete an die Vorrichtung 12(m) zu leiten. Falls die Vor- 
richtung 12(m) auf den Namen-Server 17 uber das Internet 
14 zugreift, hat die durch den TSP 11 bereitgestellte Identifi- 
zierung des Namen-Servers 17 (siehe oben unter (b)) die 
Form einer Zahlen-Intemetadresse, welche es der Vorrich- 
tung 12(m) ermoglicht, fur den Namen-Server 17 Nachrich- 
ten zu erzeugen, welche eine Auflosung der Klartext-Inter- 
netadressen in Zahlen-Internetadressen anfordefn. Der ISP 
11 kann der Vorrichtung 12(m) auch andere IP-Parameter 
zuordnen, wenn diese sich beim ISP 11 einloggt, beispiels- 
weise die Identifizierung einer Verbindung zu dem Internet 

14, welche fur Nachrichten zu verwenden ist, die durch die 
Vorrichtung 12(m) ubersandt werden, insbesondere falls der 
ISP U Mehrfach-Gateways aufweist In der Regel speichert 
die Vorrichtung 12(m) die Internetparameter im Internetpa- 
rameterspeicher 25 fur die Verwendung wahrend der Kom- 
rnunikationssitzung. 

Wenn ein Bediener die Vorrichtung 12(m) veranlassen 
mochte, daB sie ein Nachrichtenpaket an eine Vorrichtung 
13 ubertragt gibt der oder die Bediener(in) die Internet- 
adresse der Vorrichtung 13 an die Vorrichtung 12(m) uber 
die Bedienerschnittstelle 20 ein, sowie eine Information 
Oder die Identifizierung der in der Vorrichtung 12(m)aufbe- 
wahrten Information, welche in der Nachricht uberragen 
werden sollen. Die Bedienerschnittstelle 20 aktiviert darauf- 
hin den Paketgenerator 22 zur Freigabe der benougten Pa- 
kete zur Ubertragung durch den ISP 11 uber das Internet 14 
Falls 
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(i) der Bediener die Zahlen-Intemetadresse bereitge- 
stellt hat, oder 

(ii) der Bediener die Klartext-Internetadresse bereitge- 
stellt hat, aber der Paketgenerator 22 bereits die Zah- 
len-Intemetadresse besitzt, welche der durch den Be- 
diener eingegebenen Klartext-Internetadresse ent- 
spricht, 

kann der Paketgenerator 22 unmittelbar nach Aktivierung 
durch die Bedienerschnittstelle 20 die Pakete erzeugen und 
diese an die Netzwerkschnittstelle 21 zur Ubertragung an 
den ISP 11 liefem. 

Falls aber der Bediener die Klartext-Internetadresse der 
Vorrichtung 13, an welche die Pakete zu ubertragen sind, 
eingegeben hat, und falls der Paketgenerator 22 die entspre- 
chende Zahlen-Intemetadresse davon nicht bereits besitzt, 



ermoglicht es der Paketgenerator 22, daB die Netzwerk- 
adresse von dem Namen-Server 17, der in dem IP-Par ame- 
terspeicher 25 identifiziert ist, erhalten wird. 

Bei diesem Vorgang wird der Paketgenerator 22 anfang- 
5 lich den Namen-Server 17 kontaktieren, urn zu versuchen, 
die geeignete Zahlen-Intemetadresse von dem Namen-Ser- 
ver 17 zu erhalten. Bei diesem Vorgang wird die Vorrichtung 
12(m) geeignete Nachrichtenpakete zur Obertragung an den 
Namen-Server 17 unter Verwendung der Zahlen-Internet- 
10 adresse des Namen-Servers 17 erzeugen, welche durch den 
ISP 11 bereitgestellt wird, wenn sich die Vorrichtung 12(m) 
zu Beginn der Komrnunikationssitzung einloggt. Jedenfalls 
wenn der Namen-Server 17 die Zahlen-Intemetadresse fur 
den Klartextnamen besitzt oder erhalten kann, wird der Na- 
15 men-Server 17 die Zahlen-Intemetadresse an die Vorrich- 
tung 12(m) ubermittein. Die Zahlen-Intemetadresse wird 
durch den Paketgenerator 22 uber die Netzwerkschnittstelle 
21 und den Paketempfanger und -prozessor 23 empfangen. 
Nachdem der Paketgenerator 22 die Zahlen-Intemetadresse 
20 empfangen hat, kann er die notwendigen Nachrichtenpakete 
zur Ubertragung an die Vorrichtung 13 durch die Netzwerk- 
schnittstelle 21 und den ISP 11 erzeugen. 

Wie oben ausgefuhrt wurde, ist in Fig, 1 eine der Vorrich- 
tungen 13, welche an das Internet 14 angeschiossen sind, ein 
25 virtueiles privates Netzwerk 15, wobei das virtuelle private 
Netzwerk 15 eine Firewall bzw. ein Firewall-System 30, 
mehrere als Server 31(s) gekennzeichnete Vorrichtungen 
und einen Namen-Server 32 aufweist, die durch eine Uber- 
tragungsverbindung 33 miteinander verbunden sind. Die 
30 Server 31 (s), die Firewal I 30 und der Namen-Server 32 kon- 
nen als z. B. in einem LAN oder WAN verbundene Vorrich- 
tungen untereinander Information in Form von Nachrichten- 
paketen austauschen. Da die Firewall 30 mit dem Internet 14 
verbunden ist und dariiber Nachrichtenpakete empfangen 
35 kann, hat sie auch eine Internetadresse. Zusatzlich haben 
wenigstens die Server 31(s), welche uber das Internet zu- 
ganglich sind, auch jeweilige Internetadressen. Dabei dient 
der Namen-Server 32 der Umwandlung von Klartext-Inter- 
netadressen fiir die Server 31(s) innerhalb des virtuellen pri- 
40 vatcn Nctzwcrkcs 15 in die jeweiligen Zahlcn-Intcmctadrcs- 
sen. 

Im allgemeinen wird das virtuelle private Netzwerke 15 
von einem Untemehmen, einem Regierungsamt, einer Orga- 
nisation oder ahnlichcm gchaltcn, welche mochtcn, daB die 
45 Server 31(s) Zugriff auf andere Vorrichtungen auBerhalb des 
virtuellen privaten Netzwerkes 15 haben und an diese Infor- 
mation uber das Internet 14 ubertragen konnen, aber welche 
ebenfalls mochten, daB der Zugriff an die Server 31(s) durch 
Vorrichtungen 12(m) und andere exteme Vorrichtungen 
50 uber das Internet 14 in einer kontrollierten Weise begrenzt 
ist. Die Firewall 30 dient dazu, den Zugriff durch Vorrich- 
tungen auBerhalb des virtuellen privaten Netzwerkes 15 auf 
Server 31(s) innerhalb des virtuellen privaten Netzwerkes 
15 zu kontrollieren. Bei diesem Vorgang stellt die Firewall 
55 30 auch die Verbindung zum Internet 14 her und empfangt 
Nachrichtenpakete dariiber zur Ubertragung an einen Server 
31(s). Falls das Nachrichtenpaket angibt, daB die Quelle des 
Nachrichtenpaketes einen Zugriff auf einen bestimmten Ser- 
ver 31(s) anfordert, und falls die Quelle fiir den Zugriff an 
60 den Server 31(s) authorisiert ist, sendet die Firewall 30 das 
Nachrichtenpaket uber die Obertragungsverbindung 33 an 
den Server 31(s). Falls andererseits die Quelle nicht authori- 
siert ist, auf den Server 31(s) zuzugreifen, wird die Firewall 
30 das Nachrichtenpaket nicht an den Server 31(s) ubersen- 
65 den, und kann anstelle ein Antwortnachrichtenpaket an die 
Quellenvorrichtung ubermittein, welches angibt, daB die 
Quelle nicht fiir den Zugriff an den Server 31(s) authorisiert 
ist Die Firewall kann ahnlich aufgebaut sein wie die ande- 
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ren Vorrichtungen 31(s) in dem virtuellen privaten Netz- 
werk 15, wobei zusatzlich eine oder mehrere Verbindungen 
mit dem Internet vorhanden sind, welche aUgemein durch 
das Bezugszeichen 43 gekennzeichnet sind. 

Kommunikationen zwischen Vorrichtungen auBerhalb 
des virtuellen privaten Netzwerkes 15, z. B. der Vorrichtung 
12(m), und einer Vorrichtung, z. B. einem Server 31(s), in- 
nerhalb des virtuellen privaten Netzwerkes 15 kann uber ei- 
nen Sicherheitstunnel zwischen der Firewall 30 und der ex- 
temen Vorrichtung, wie es oben beschrieben ist, erreicht 
werden, damit die ausgetauschten Infonnation geheim blei- 
ben, wahrend diese uber das Internet 14 und durch den ISP 
11 ubertragen werden. Ein Sicherheitstunnel zwischen der 
Vorrichtung 12(m) und dem virtuellen privaten Netzwerk 15 
ist in Fig. 1 durch logische Verbindungen dargestellt, welche 
durch die Bezugszeichen 40, 42 und 44 gekennzeichnet 
sind; es versteht sich, daB die logischen Verbindung 42 eine 
der logischen Verbindungen 41 zwischen dem ISP 11 und 
dem Internet 14 und die logische Verbindung 44 eine der lo- 
gischen Verbindungen 43 zwischen dem Internet 14 und der 
Firewall 30 umfaBt. 

Der Aufbau eines Sicherheitstunnels kann durch eine 
Vorrichtung 12(m), die extern zu dem virtuellen privaten 
Netzwerk 15 ist, ausgeldst werden. Bei diesem Vorgang er- 
zeugt die Vorrichtung 12(m) in Reaktion auf eine Aufforde- 
rung durch deren Bediener ein Nachrichtenpaket. zur Uber- 
tragung durch den ISP 11 und das Internet 14 an die Firewall 
30, welches den Aufbau eines Sicherheitstunnels zwischen 
der Vorrichtung 12(m) und der Firewall 30 anfordert. Das 
Nachrichtenpaket kann an eine bestimmte Zahlen-Tnternet- 
adresse gerichtet sein, welche der Firewall 30 zugeordnet ist 
und welche fur Sicherheitstunnelaufbauanfragen reserviert 
ist, und welche femer der Vorrichtung 12(m) bekannt ist und 
durch den Namen-Server 17 bereitgestellt wird. Falls die 
Vorrichtung 12(m) authorisiert ist, auf einen Server 31 (s) in 
dem virtuellen privaten Netzwerk 15 zuzugreifen, nehmen 
die Vorrichtung 12(m) als Client und die Firewall 30 einen 
Dialog auf, welcher den Austausch von einem oder mehre- 
ren Nachrichtenpaketen uber das Internet 14 umfaBt. Wah- 
rend des Dialogs kann die Firewall 30 der Vorrichtung 
12(m) die Identifizierung eines Entschlusselungsalgorith- 
mus und einen zugehorigen Entschlusselungsschlussel be- 
reitstellen, welche die Vorrichtung 12(m) beim Entschlus- 
scln der verschlusselten Abschnittc der Nachrichtcnpakctc 
zu verwenden hat, welche das virtuelle private Netzwerk an 
die Vorrichtung 12(m) ubertragt. Zusatzlich dazu kann die 
Firewall 30 der Vorrichtung 12(m) auch die Idendfizierung 
eines Verschlusselungsalgorithmus und einen zugehorigen 
Verschlusselungsschliissel bereitstellen, welche die Vorrich- 
tung 12(m) beim Verschlusseln der Abschnitte der Nach- 
richtenpakete zu verwenden hat, welche die Vorrichtung 
12(m) an das virtuelle private Netzwerk 15 ubertragt und 
welche verschlusselt werden sollen. Alternativ dazu kann 
die Vorrichtung 12(m) die Identifizierung des Verschlussel- 
ungsalgorithmus und des Verschlusselungsschlussels, wel- 
che die Vorrichtung 12(m) verwenden wird, an die Firewall 
30 wahrend des Dialogs liefem. Die Vorrichtung 12(m) 
kann in ihrem IP-Parameterspeicher 25 Informationen be- 
trefTend den Sicherheitstunnel speichern, einschlieBlich der 
Information in Verbindung mit der Identifizierung der Fire- 
wall 30 und der Identifizierungen der Verschlusselungs- und 
Entschliisselungsalgorithmen und dazugehoriger Schlussel 
fur Nachrichtenpakete, welche durch den Sicherheitstunnel 
ubertragen werden. 

Sodann konnen die Vorrichtung 12(m) und die Firewall 
30 Nachrichtenpakete uber den Sicherheitstunnel ubertra- 
gen. Beim Erzeugen von Nachrichtenpaketen zur Ubertra- 
gung uber den Sicherheitstunnel verwendet die Vorrichtung 
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12(m) den Sicherheits-Paketprozessor 26, um die Ab- 
schnitte der Nachrichtenpakete zu verschlusseln, welche vor 
der Ubertragung durch die Netzwerkschnittstelle 21 an den 
ISP 11 zur Ubertragung uber das Internet 14 an die Firewall 
5 30 verschlusselt werden sollen, und um die verschlusselten 
Abschnitte der Nachrichtenpakete zu entschliisseln, welche 
durch die Vorrichtung 12(m) empfangen werden und welche 
verschlusselt sind. Insbesondere nachdem der Paketgenera- 
tor 22 ein Nachrichtenpaket zur Ubertragung an die Firewall 
10 30 uber den Sicherheitstunnel erzeugt hat, liefert er das 
Nachrichtenpaket an den Sicherheits-Paketprozessor 26. 
Der Sicherheits-Paketprozessor 26 verschlusselt daraufhin 
die Abschnitte des Nachrichtenpakets, welche verschlusselt 
werden sollen, unter Verwendung des Verschlusselungsal- 
15 gorithmus und des Verschlusselungsschlussels. Nachdem 
die Firewall 30 ein Nachrichtenpaket von der Vorrichtung 
12(m) uber den Sicherheitstunnel empfangen hat, wird sie 
dieses entschliisseln und, falls der beabsichtigte Empfanger 
des Nachrichtenpakets eine andere Vorrichtung, z. B. ein 
20 Server 31(s), in dem virtuellen privaten Netzwerk 15 ist, 
wird die Firewall 30 das Nachrichtenpaket an diese andere 
Vorrichtung uber die Ubertragungs verbindung 33 ubertra- 
gen. 

Wenn ein Nachrichtenpaket von einer Vorrichtung, z. B. 
25 einem Server 31(s), in dem virtuellen privaten Netzwerk 15 
an die Vorrichtung 12(m) uber den Sicherheitstunnel uber- 
tragen werden soil, empfangt die Firewall 30 ein solches 
Nachrichtenpaket uber die Ubertragungsverbindung 33 und 
verschlusselt das Nachrichtenpaket zur Ubertragung uber 
30 das Internet 14 an den ISP 11. Der TSP 11 sendet daraufhin 
das Nachrichtenpaket an die Vorrichtung 12(m), insbeson- 
dere an deren Netzwerkschnittstelle 21. Die Netzwerk- 
schnittstelle 21 liefert das Nachrichtenpaket an den Sicher- 
heits-Paketprozessor 26, welcher die verschlusselten Ab- 
35 schnitte des Nachrichtenpakets unter Verwendung des Ent- 
schlusselungsalgorithmus und -schlussels entschlusselt. 

Ein Problem tritt auf im Zusammenhang mit Zugriffen 
durch eine Vorrichtung, z. B. einer Vorrichtung 12(m), wel- 
che extern zum virtuellen privaten Netzwerk 15 ist, und ei- 
40 ncr Vorrichtung, z. B. cincm Server 31(s), welche extern zu 
der Firewall ist, namlich dann, wenn dem Namen-Server 17 
keine Zahlen-Internetadressen fur die Server 31(s) und an- 
dere Vorrichtungen bereitgestellt sind, die sich innerhalb des 
virtuellen privaten Netzwerkes 15 befinden - mit Ausnahmc 
45 der Zahlen-Internetadressen, welche der Firewall 30 zuge- 
ordnet sind. Folglich wird die Vorrichtung 12(m) nach Ein- 
gabe der Klarlext-InterneUdresse durch den Bediener nicht 
in der Lage sein, die Zahlen-Internetadresse des Servers 
31(s) zu erhalten, wenn er auf den Namen-Server 17 zu- 
50 greift. 

Wenn die Vorrichtung 12(m) und die Firewall 39 zusam- 
menarbeiten, um einen dazwischenliegenden Sicherheits- 
tunnel aufzubauen, liefert die Firewall 30 zur Behebung des 
obigen Problems an die Vorrichtung 12(m) zusatzlich zu 
55 moglichen Identifikationen der Verschlusselungs- und Ent- 
schlusselungsalgorithmen und -schlusseln, welche im Zu- 
sammenhang mit der tjbertragung der Nachrichtenpakete 
uber den Sicherheitstunnel zu verwenden sind, an die Vor- 
richtung 12(m) auch die Identifizierung eines Namen-Ser- 
60 vers, z. B. eines Namen-Servers 32, innerhalb des virtuellen 
privaten Netzwerkes 15, auf welchen die Vorrichtung 12(m) 
zugreifen kann, um die geeigneten Zahlen-Internetadressen 
fur die Klartext-Internetadressen zu erhalten, welche durch 
den Bediener einer Vorrichtung 12(m) eingegeben werden. 
65 Die Identifizierung des Namen-Servers 32 wird ebenfalls in 
dem IP-Parameterspeicher 25 gespeichert zusammen mit 
der Identifizierung des Namen-Servers 17, welche durch den 
ISP 11 bereitgestellt wurde, sobald die Vorrichtung 12(m) 
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beim ISP 11 zu Beginn einer Kommunikationssitzung ein- 
geloggt wurde. Wenn daher die Vorrichtung 12(m) ein 
Nachrichtenpaket an eine Vorrichtung, z. B. einen Server 
31(s), in dem virtuellen privaten Netzwerk 15 unter Verwen- 
dung einer Klartext-Internetadresse ubertragen mochte, wei- 5 
che z. B. durch einen Bediener bereitgestellt bzw. eingege- 
ben wurde, greirt die Vorrichtung 12(m) zu Beginn auf den 
Namen-Server 17 zu, wie es oben beschrieben wurde, um zu 
versuchen, die zu der Klartext-Internetadresse zugehorige 
Zahlen-Intemetadresse zu erhalten. Da der Namen-Server 10 
17 auBerhalb des virtuellen privaten Netzwerkes 15 ist und 
die durch die Vorrichtung 12(m) angeforderten Information 
nicht besitzt, sendet er ein entsprechend lautendes Antwort- 
nachrichtenpaket. Die Vorrichtung 12(m) wird sodann ein 
Anfragenachrichtenpaket zur Ubertragung an den Namen- 15 
Server 32 durch die Firewall 30 und uber den Sicherheits- 
tunnel erzeugen. Falls der Namen-Server 32 eine Zahlen-In- 
temetadresse besitzt, welche zu der Klartext-Internetadresse 
in dem Anfragenachrichtenpaket gehort, welches durch die 
Vorrichtung 12(m) geliefert wird, stellt er die Zahlen-Inter- 20 
netadresse in einer Weise bereit, welche im allgemeinen der- 
jenigen ahnlich ist, welche oben im Zusammenhang mit 
dem Namen-Server 17 beschrieben wurde mit der Aus- 
nahme, daB die Zahlen-Internetadresse durch den Namen- 
Server 32 in einem an die Firewall 30 gerichteten Nachrich- 25 
tenpaket. geliefert wird, und die Firewall 30 sodann das 
Nachrichtenpaket uber den Sicherheitstunnel an die Vorrich- 
tung 12(rn) ubermitteit. Es versteht sich, daB sich in dem 
Nachrichtenpaket, welches durch die Firewall 30 ubertragen 
wird, die Zahlen-Tnternetadresse in dem Nachrichtenpaket 30 
im Datenabschnitt des Nachrichtenpakets befindet, welches 
uber den Sicherheitstunnel ubertragen wird und entspre- 
chend verschliisselt sein wird. Das Nachrichtenpaket wird 
durch die Vorrichtung 12(m) in einer ahnlichen Weise verar- 
beitet, wie sie oben im Zusammenhang mit anderen Nach- 35 
richtenpaketen beschrieben wurde, welche durch die Vor- 
richtung 12(m) uber den Sicherheitstunnel empfangen wer- 
den. Das heifit, daB das Nachrichtenpaket durch den Sicher- 
heits-Paketprozessor 26 vor dem Ubermitteln an den Paket- 
cmpfangcr und -prozcssor 23 zur Vcrarbcitung cntschlussclt 40 
wird. Die Zahlen-Internetadresse fur den Server 31(s) kann 
in einem Cache in einer ZugrifTskontrolliste (ACL) in dem 
IP-Parameterspeicher 25 gespeichert werden, zusammen 
mit der Zuordnungsinformation bczuglich der zugchorigen 
Klartext-Internetadresse, einer Angabe, daB der Server 45 
31(s), der dieser Klartext-Internetadresse zugeordnet ist, 
uber die Firewall 30 des virtuellen privaten Netzwerkes 15 
zuganglich ist, und die Identifizierungen der Verschlussel- 
ungs- und Entschliisselungsalgorithmen und -schlussel, wel- 
che fur eine Verschlusselung und Entschliisselung der geeig- 50 
nelen Abschnitte der Nachrichtenpakete zu verwenden sind, 
welche an den Server 31(s) ubertragen und von diesem er- 
halten werden. 

Es versteht sich, daB in Reaktion auf ein Nachrichtenpa- 
ket von der Vorrichtung 12(m), welches beim Namen-Server 55 
32 die Bereitstellung einer Zahlen-Intemetadresse fur eine 
durch die Vorrichtung 12(m) angegebene Klartext-Internet- 
adresse anfordert, falls der Namen-Server 32 keine Zuord- 
nungsinformation zwischen der Klartext-Internetadresse 
und einer Zahlen-Intemetadresse besitzt, der Namen-Server 60 
32 ein Antwortnachrichtenpaket, das entsprechend iautet, 
ubertragen kann. Falls die Vorrichtung 12(m) eine Idenufi- 
zierung von anderen Namen -Servern besitzt, welche z. B. 
mit anderen virtuellen privaten Netzwerken (nicht gezeigt) 
verbunden sein konnen und zu welchen die Vorrichtung 65 
12(m) ZugrifT hat, dann kann die Vorrichtung 12(m) versu- 
chen, auf die anderen Namen-Server in einer ahnlichen 
Weise, wie es oben beschrieben ist, zuzugreifen. Falls die 
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Vorrichtung 12(m) nicht in der Lage ist, eine Zahlen-Inter- 
netadresse, welche der Klartext-Internetadresse zugeordnet 
ist, von irgendeinem der Namen-Server zu erhalten, zu wel- 
chem sie Zugriff hat und welche im allgemeinen im IP-Para- 
meterspeicher. 25 der Vorrichtung 12(m) identifiziert sind, 
wird sie allgemein nicht in der Lage sein, auf eine Vorrich- 
tung mit der vorgegebenen Klartext-Internetadresse zuzu- 
greifen und wird den Bediener oder ein Programm, welche 
den Zugriff angefordert haben, dementsprechend unterrich- 
ten. 

Mit diesem Hintergrund werden nun Operationen, welche 
durch die Vorrichtung 12(m) und das virtuelle private Netz- 
werk 15 in Verbindung mit der vorliegenden Erfindung 
durchgefuhrt werden, im Detail beschrieben. Im allgemei- 
nen laufen die Operationen in zwei Phasen ab. In einer er- 
sten Phase arbeiten die Vorrichtung 12(m) und das virtuelle 
private Netzwerk 15 zusammen, um einen Sicherheitstunnel 
durch das Internet 14 aufzubauen. In dieser ersten Phase lie- 
fert das virtuelle private Netzwerk 15, insbesondere die Fi- 
rewall 30, die Identifizierung eines Namen-Servers 32, und 
es kann auch die den Verschiusselungs- und Entschltissel- 
ungsalgorithmus und -schlussel betreffende Information be- 
reitstellen, wie es oben beschrieben wurde. In der zweiten 
Phase, nachdem der Sicherheitstunnel eingerichtet wurde, 
kann die Vorrichtung 12(m) die wahrend der ersten Phase 
gelieferten Information im Zusammenhang mit. der Krzeu- 
gung und Ubertragung von Nachrichtenpaketen an einen 
oder mehrere Server 31 (s) in dem virtuellen privaten Netz- 
werk 15 und bei dem notwendigen Umwandlungsvorgang 
der Klartext-Intemetadressen zu Zahien-Internetadressen 
aus dem Namen-Server 32, welcher durch die Firewall 30 
wahrend der ersten Phase identifiziert wurde, verwenden. 

Folglich erzeugt die Vorrichtung 12(m) in der ersten (Si- 
cherheitstunnelaufbau)phase zu Beginn ein Nachrichtenpa- 
ket zur Ubertragung an die Firewall 30, welches einen Auf- 
bau eines Sicherheitstunnels anfordert. Das Nachrichtenpa- 
ket enthalt eine Zahlen-Internetadresse fur die Firewall, 
(welche durch den Bediener der Vorrichtung oder ein Pro- 
gramm bereitgestellt werden kann, welches durch die Vor- 
richtung 12(m) vcrarbcitct wird, oder durch den Namcn-Scr- 
ver 17 bereitgestellt werden kann, nachdem eine Klartext- 
Internetadresse durch den Bediener oder ein Programm be- 
reitgestellt wurde), und welche insbesondere dazu dient, die 
Firewall 30 zu vcranlasscn, mit der Vorrichtung 12(m) cincn 
Sicherheitstunnel aufzubauen. Falls die Firewall 30 die An- 
frage bezuglich des Sicherheitstunnelaufbaus akzeptiert und 
falls die Firewall 30 die Verschiusselungs- und Entschliis- 
selungsalgorithmen und -schlussel bereitstellt, so wie es 
oben angegeben wurde, erzeugt die Firewall 30 ein Ant- 
wortnachrichtenpaket zur Ubertragung an die Vorrichtung 
12(m), welches die Verschiusselungs- und Entschliissel- 
ungsalgorithmen und -schlussel identifiziert. Wie oben be- 
schrieben, wird dieses Antwortnachrichtenpaket nicht ver- 
schlusselt Wenn die Vorrichtung 12(m) die Antwort emp- 
fangt, werden die Identifizierungen der Verschliisselungs- 
und Entschlusselungsalgorithmen und -schlussel in dem EP- 
Parameterspeicher 25 gespeichert. 

Zu einem spateren Zeitpunkt in der ersten Phase erzeugt 
die Firewall 30 auch ein Nachrichtenpaket zur Ubertragung 
an die Vorrichtung 12(m), welches die Zahlen-Intemet- 
adresse des Namen-Servers 32 enthalt. Bei diesem Nach- 
richtenpaket wird der Abschnitt des Nachrichtenpakets, 
welcher die Zahlen-Internetadresse des Namen-Servers 32 
enthalt, unter Verwendung eines Verschlusselungsalgorith- 
mus und Verschliisselungsschlussels verschliisselt, und dies 
kann unter Verwendung des Entschlusselungsalgorithmus 
und -schliissels, die durch das zuvor beschriebene Antwort- 
nachrichtenpaket geliefert wurden, wieder entschlusselt 
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werden. Diese Nachricht hat im allgemeinen die folgende 
Struktur: 

"<nA(FW),IIA(DEV12(ni)><SEC^TUN> 

<ENCR«nA(FW),nA(DEV_12(rn)x(DNS ADRS:IIA(- 5 
NS_2>»" 

wobei 

(i) "IIA(FW)" die Quellenadresse darstellt, d. h. eine 10 
Zahlen-Internetadresse der Firewall 30, 

(ii) "IIA(DEV_12(m)) M die Zieladresse darstellt, d. h. 
die Zahlen-Internetadresse der Vorrichtung 12 (m), 

(iii) "DNS_ADRS:IIA(NS) M angibt, daB 
"HA(NS J2)" die Zahlen-Intemetadresse des Namen- is 
Servers 32 darstellt, fur dessen Benutzung die Vorrich- 
tung 12(m) authorisiert ist, und 

(iv) W ENCR<. . . >" bedeutet, da8 die Information, 
zwischen den Klammern "<" und ">" verschlusselt ist. 

20 

Der Anfangsabschnitt der Nachricht 

,, IIA(P'W),IIA(DEV_12(m))>" bildet wenigstens einen Teil 
des Kopfabschnitts der Nachricht, und 
"<JINa^<<nA(IW),nA(DEV_12(m))><IIA(NS>>>" 
stellt wenigstens einen Teil des Datenabschnitts der Nach- 25 
richtdar. "<SKCjmN>" stellt. einen Hinweis in dem Kopf- 
abschnitt dar, welcher angibt, daB die Nachricht uber den Si- 
cherheitstunnel ubertragen wird, wodurch auch angezeigt 
wird, daB der Datenabschnitt der Nachricht verschlusselte 
Information enthalt. 30 

Nachdem die Vorrichtung 12(m) die Nachricht von der 
Firewall 30 empfangt, wie es oben beschrieben wurde, und 
weil das Nachrichtenpaket den <SEC_TUN> Hinweis ent- 
halt, ubertragt deren Netzwerkschnittstelle 21 den ver- 
schlusselten Abschnitt 35 

M <^Ol<<JIA(FW),IU^ 

NS_32)»>" an den Sicherheits-Paketprozessor 26 zur Ver- 
arbeitung. Der Sicherheits-Paketprozessor 26 entschlusselt 
den verschlusselten Abschnitt, bestimmt weiter, daB der Ab- 
schnitt "nA(NS_32)" die Zahlcn-Intcrnctadrcssc des Na- 40 
men-Servers darstellt, insbesondere des Namen-Servers 32, 
fiir dessen Benutzung die Vorrichtung 12(m) authorisiert ist,' 
und speichert diese Adresse in dem IP-Parameterspeicher 25 
zusammcn mit cincr Angabc, daB die dorthin gcrichtctcn 
Nachrichtenpakete zu der Firewall 30 zu ubertragen sind, 45 
und daB die Daten in den Nachrichtenpaketen unter Verwen- 
dung des Verschlusselungsalgoriuimus und -schltissels, die 
davor durch die Firewall 30 ubermittelt wurden, zu ver- 
schlusseln sind. Es versteht sich, daB aufgrund der Tatsache, 
daB die Zahlen-Internetadresse des Namen-Servers 32 von 50 
der Firewall an die Vorrichtung 12(m) in verschlusseller 
Form ubertragen wird, diese vertraulich bleibt, selbst wenn 
das Paket durch einen Dritten abgefangen wird. 

In Abhangigkeit des speziellen Protokolls, welches fiir 
den Aufbau des Sicherheitstunnels verwendet wird, konnen 55 
die Firewall 30 und die Vorrichtung 12(m) auch Nachrich- 
tenpakete austauschen, welche andere Information enthalten 
als die oben beschriebenen. 

Wie oben erwahnt wurde, kann die Vorrichtung 12(m) in 
der zweiten Phase nach der Einrichtung des Sicherheitstun- 60 
nels die Information, welche wahrend der ersten Phase be- 
reitgestellt wurde, im Zusammenhang mit dem Erzeugen 
und Ubertragen von Nachrichtenpaketen zu einem oder 
mehreren der Server 31(s) in dem virtueilen privaten Netz- 
werk 15 nutzen. Falls bei diesen Operationen der Bediener 65 
einer Vorrichtung 12{m) oder ein Programm, welches durch 
eine Vorrichtung 12(m) verarbeitet wird, mochte, daB die 
Vorrichtung 12(m) ein Nachrichtenpaket an einen Server 
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31(s) in dem virtueilen privaten Netzwerk 15 ubertragt, und 
fails der Bediener durch die Bedienerschnittstelle 20 oder 
das Programm eine Klartext-Internetadresse bereitsteilt, 
wird zunachst die Vorrichtung 12(m), insbesondere der Pa- 
ketgenerator 22, bestimmen, ob der IP-Parameterspeicher 
25 dort in einem Cache eine Zahlen-Intemetadresse gespei- 
chert hat, welche zu der Klartext-Internetadresse gehort. 
Falls dies nicht der Fall ist, erzeugt der Paketgenerator 22 
ein Anfragenachrichtenpaket zur Ubertragung an den Na- 
men-Server 17, urn von diesem die zu der Klartext-Intemet- 
adresse gehorige Zahlen-Internetadresse anzufordern. Falls 
der Namen-Server 17 eine zu der Klartext-Internetadresse 
gehorige Zahlen-Internetadresse besitzt, wird dieser die 
Zahlen-Internetadrese an die Vorrichtung 12(m) liefern. Es 
versteht sich, daB dies nur erfolgen kann, wenn die Klartext- 
Internetadresse im Anfragenachrichtenpaket sowohl einer 
Vorrichtung 13 auBerhalb des virtueilen privaten Netzwer- 
kes 15 als auch einem Server 32(s) in dem virtueilen priva- 
ten Netzwerk 15 zugeordnet wurde. Danach kann die Vor- 
richtung 12(m) die Zahlen-Internetadresse verwenden, urn 
Nachrichtenpakete zur Ubertragung uber das Internet zu er- 
zeugen, wie es oben beschrieben wurde. 
^ Falls andererseits angenommen wird, daB der Namen- 
Server 17 keine der Klartext-Internetadresse zugeordnete 
Zahlen-Internetadresse besitzt, wird der Namen-Server 17 
ein entsprechend lautendes Antwortriachrichtenpaket an die 
Vorrichtung 12(m) ubermitteln. Sodann erzeugt der Paket- 
generator 22 der Vorrichtung 12(m) ein Anfragenachrich- 
tenpaket zur Ubertragung an den nachsten Namen-Server, 
der in ihrem TP-Parameterspeicher 25 identifiziert ist. urn 
von diesem Namen-Server die der Klartext-Internetadresse 
zugeordnete Zahlen-Intemetadresse anzufordern. Falls die- 
ser nachste Namen-Server der Namen-Server 32 ist, liefert 
der Paketgenerator 22 das Nachrichtenpaket an den Sicher- 
heits-Paketprozessor 26 zur weiteren Verarbeitung. Der Si- 
cherheits-Paketprozessor 26 erzeugt daraufhin ein Anfra- 
genachrichtenpaket zur Ubertragung uber den Sicherheits- 
tunnel an die Firewall 30. Diese Nachricht hat im allgemei- 
nen folgende Struktur: 

M <nA(DEV_12(m)),IIA(FW)><SEC_TUN> 
<£NOl<<IIA(DEV_12(m)),IIA(NS_32))><nA_REQ>>>- 

wobei 

(i) "IIA(DEV_12(m))" die Quellenadresse darstellt, 
d. h. die Zahlen-Internetadresse der Vorrichtung 12(m), 

(ii) "EA(FW)" die Zieladresse darstellt, d. h. die Zah- 
len-Internetadresse der Firewall 30, 

(iii) M nA(NS_32)" die Adresse des Namen-Servers 32 
darstellt, 

(iv) V<IIA(DEV^12(m)),IM(NS_32))><nA_REQ>- 
»" das Anfragenachrichtenpaket darstellt, welches 
durch den Paketgenerator 22 erzeugt wird, wobei 
"<IIA(DEV_12(m)),IIA(NS_32)>" den Kopfabschnitt 
des Anfragenachrichtenpakets und "<nA_REQ>" den 
Datenabschnitt des Anfragenachrichtenpakets darstellt, 

(v) "ENCR<. . . .>" angibt, daB die Information zwi- 
schen den Klammern und verschlusselt ist, und 

(vi) "<SEC_TUN>" einen Hinweis in dem Kopfab- 
schnitt des Nachrichtenpakets darstellt, welches durch 
den Sicherheitspaketgenerator 26 erzeugt wird und an- 
gibt, daB die Nachricht uber den Sicherheitstunnel 
ubertragen wird, wobei hierdurch angegeben wird, daB 
der Datenabschnitt der Nachricht verschlusselte Infor- 
mation en malt 
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Wenn die Firewall 30 das durch den Sicherheitspaketge- 
nerator 26 erzeugte Anfragenachrichtenpaket empfangt, 
wird diese den verschlusseiten Abschnitt des Nachrichten- 
pakets entschliissein, urn 
,, «IIA(DEV_12(m))JIA(NS_32))xIIA_REQ» ,, zu er- 
halten. Dies stelltdas Anfragenachrichtenpaket dar, welches 
durch den Paketgenerator 22 erzeugt wird. Nachdem das 
Anfragenachrichtenpaket erhalten wurde, ubertragt die Fire- 
wall 30 dieses liber die Ubertragungsverbindung 33 an den 
Namen-Server 32. In Abhangigkeit von dem Protokoll zur 
Ubertragung von Nachrichtenpaketen iiber die Ubertra- 
gungsverbindung 33 kann es bei diesem ProzeB fur die Fire- 
wall 30 notwendig sein, das Anfragenachrichtenpaket zu 
modifizieren, damit es dem Protokoll der tfbertragungsver- 
bindung 33 entspricht 

Nachdem der Namen-Server 32 das Anfragenachrichten- 
paket erhalten hat, wird dieser das Anfragenachrichtenpaket 
verarbeiten, um zu bestimmen, ob er eine der Klartext-Inter- 
netadresse, welche in dem Anfragenachrichtenpaket gesen- 
det wird, zugeordnete Zahlen-Internetadresse besitzt. Falls 
der Namen-Server feststellt, daB er eine solche Zahlen-Inter- 
netadresse aufweist, wird dieser ein Antwortnachrichtenpa- 
ket zur Ubertragung an die Firewall erzeugen, welches die 
Zahlen-Internetadresse enthalt. Im allgemeinen hat das Ant- 
wortnachrichtenpaket die folgende Struktur: 
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paket entspricht) verschlusselt ist. 



V<IIA(NS_32)JIA(DEV_12(m)><IIA_RESP>> ,, 
wobei 

(i) "nA(NS_32)" die Quellenadresse darsteUt, d. h. die 
Zahlen-Internetadresse des Namen-Servers 32, 

(ii) "IIA(DEV_12(m))" die Zieladresse darsteUt, d. h. 
die Zahlen-Internetadresse der Vorrichtung 12(m), und 

(iii) "IIA_RESP" die Zahlen-Internetadresse darsteUt, 
welche der Klartext-Internetadresse zugeordnet ist. 

Nachdem die Firewall 30 das Antwortnachrichtenpaket 
empfangen hat, und weil die Kommunikation mit der Vor- 
richtung 12(m) uber den dazwischcnlicgcndcn Sichcrhcits- 
tunnel stattfindet, verschlusselt die Firewall 30 das von dem 
Namen-Server 32 empfangene Antwortnachrichtenpaket 
und erzeugt ein Nachrichtenpaket zur Ubertragung an die 
Vorrichtung 12(m), welches das verschlusselte Antwort- 
nachrichtenpaket enthalt Im allgemeinen hat das durch die 
Firewall 30 erzeugte Nachrichtenpaket die folgende Struk- 
tur: 

M <JIA(FW)JIA(DEV12(m)><SEC_TUN)> 
<pCTt<<IIA(NS_32),IIA(DEV^ 



wobei 



(i) "IIA(FWy die Quellenadresse darsteUt, d. h. die 
Zahlen-Internetadresse der Firewall 30, 

(ii) "IIA(DEV_12(m)r die Zieladresse darstellt, d. h. 
die Zahlen-Internetadresse der Vorrichtung 12(m), 

(iii) "SEC_TUN" einen Hinweis in dem Kopfabschnitt 
des Nachrichtenpakets darsteUt, welches durch den Si- 
cherheitspaketgenerator 26 erzeugt wird, und angibt, 
daB die Nachricht uber den Sicherheitstunnel ubertra- 
gen wird, und wobei auch angegeben wird, daB der Da- 
tenabschnitt der Nachricht verschlusselte Information 
enthalt, 

(iv) W ENCR<. . . >" angibt, daB die Information zwi- 
schen den Klammern "<" und ">" (was dem von dem 
Namen-Server 32 empfangenen Antwortnachrichten- 



ZusatzUch kann es je nach dem ProtokoU zur t)bertra- 
gung von Nachrichtenpaketen uber die Ubertragungsverbin- 
5 dung 33 fur die FirewaU 30 notwendig sein, das Nachrich- 
tenpaket zu bearbeiten und/oder zu modifizieren, damit die- 
ses dem Protokoll des Internets 14 entspricht. 

Wenn die Vorrichtung 12(m) das Nachrichtenpaket von 
der Firewall 30 empfangt, wird das Nachrichtenpaket an den 
to Sicherheits-Paketprozessor 26 geUefert. Der Sicherheitspa- 
ketprozessor 26 entschlusseit daraufhin den verschlusseiten 
Abschnitt des Nachrichtenpakets, um die der Klartext-Inter- 
netadresse zugeordnete Zahlen-Internetadresse zu erhalten 
und ladt diese Information in den IP-Parameterspeicher 25. 
15 Danach kann die Vorrichtung diese Zahlen-Internetadresse 
beim Erzeugen von Nachrichtenpaketen zur Ubertragung an 
den Server 31 (s) verwenden, welcher zu der Klartext-Inter- 
netadresse gehort. 
Es versteht sich, daB, faUs der Namen-Server 32 keine 
20 Zahlen-Internetadresse besitzt, welche der durch die Vor- 
richtung 12(m) in dem Anfragenachrichtenpaket gelieferte 
Klartext-Internetadresse zugeordnet ist. dies der Namen- 
Server 32 in dem durch ihn erzeugten Antwortnachrichten- 
paket entsprechend anzeigen. Die FirewaU 30 erzeugt dann 
25 in Reaktion auf das durch den Namen-Server 32 gelieferte 
Antwortnachrichtenpaket. auch ein Nachrichtenpaket zur 
Ubertragung an die Vorrichtung 12(m), welches einen ver- 
schlusseiten Abschnitt enthalt, der das Antwortnachrichten- 
paket umfaBt, das durch den Namen-Server 32 erzeugt 
30 wurde. Nachdem die Vorrichtung 12(m) das Nachrichtenpa- 
ket empfangen hat, wird der verschlusselte Abschnitt durch 
den Sicherheitspaketprozessor 26 entschlusseit, welcher 
daraufhin den Paketgenerator 22 dariiber informiert, daB der 
Namen-Server 32 keine der Klartext-Internetadresse zuge- 
35 ordnete Zahlen-Internetadresse besitzt. Falls der IP-Parame- 
terspeicher 25 die Identifizierung eines anderen Namen-Ser- 
vers enthalt, erzeugt sodann der Paketgenerator 22 der Vor- 
richtung 12(m) ein Anfragenachrichtenpaket zur I Jbertra- 
gung an den nachsten Namen-Server, der in deren EP-Para- 
40 mctcrspcichcr 25 identifiziert ist, um von diesem Namen- 
Server die Zahlen-Internetadresse anzufordern, welche der 
Klartext-Internetadresse zugeordnet ist. FaUs andererseits 
der IP-Parameterspeicher 25 keine Identifizierung eines an- 
deren Namcn-Scrvcrs enthalt, kann der Paketgenerator 22 
45 die Bedienerschnittstelle 20 oder ein Programm dariiber in- 
forrnieren, daB er nicht in der Lage ist, ein Nachrichtenpaket 
zur Ubertragung an eine Vorrichtung zu erzeugen, welche 
der Klartext-Internetadresse zugeordnet ist, welche durch 
die BedienerschnittsteUe 20 oder ein Programm eingegeben 
50 bzw. bereitgesteUt wurde. 

Die Erfindung hefert eine Anzahl von VorteUen. Insbe- 
sondere schafFt die Erfindung ein System zum Vereinfachen 
der Kommunikation zwischen Vorrichtungen, welche mit 
einem offendichen Netzwerk verbunden sind, z. B. mit dem 
55 Internet 14, und Vorrichtungen, welche mit privaten Netz- 
werken verbunden sind, z. B. mit dem virtuellen privaten 
Netzwerk 15, indem die Umwandlung von Klartextadressen 
in Netzwerkadressen durch einen Namen-Server, der bevor- 
zugt uber einen Sicherheitstunnel mit den privaten Netzwer- 
60 ken verbunden ist, ermoglicht wird. 

Es versteht sich, daB eine Vielzahl von Modifikationen an 
der im Zusammenhang mit Fig, 1 beschriebenen Anordnung 
durchgefuhrt werden konnen. Obwohl das Netzwerk 10 so 
beschrieben wurde, daB die Identifizierung der Verschiussel- 
65 ungs- und Entschlusselungsalgorithmen und -schlussel 
durch die Vorrichtung 12(m) und die FirewaU 30 wahrend 
des Dialogs, wahrenddessen der Sicherheitstunnel einge- 
richtet wird, ausgetauscht wird, versteht es sich, daB bei- 
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spielsweise Information durch die Vorrichtung 12(m) und 
die Firewall 30 getrennt von dem Aufbau eines solchen Si- 
cherheitstunnels bereitgestellt werden konnen. 

Obwohl die Erfindung im Zusanimenhang mit dem Inter- 
net beschrieben wurde, versteht es sich ferner, daB die Erfin- 5 
dung in Verbindung mit jedem, insbesondere globalen, 
Netzwerk verwendet werden kann. Obwohl die Erfindung 
im Zusammenhang miteinem Netzwerk beschrieben wurde, 
welches ein System von Klartext-Netzwerkadressen bereit- 
stellt, versteht es sich femer, daB die Erfindung nicht darauf 10 
beschrankt ist sondern in Verbindung mit jedem Netzwerk 
verwendet werden kann, welches irgendeine Fonn einer - 
den systemeigenen Netzwerkadressen iibergeordnete Se- 
kundar-Netzwerkadresseneinrichtung oder vergleichbare 
nicht-formeller Netzwerkadresseneinrichtung vorsieht. 15 

Es versteht sich ferner, daB ein erfindungsgemaBes Sy- 
stem als ganzes oder in Teilen aus speziell hierfur geeigneter 
Hardware oder einem allgemein geeigneten Computersy- 
stem oder jeder Kombination davon aufgebaut werden kann, 
wobei jeder Abschnitt davon durch ein geeignetes Pro- 20 
gramm gesteuert werden kann. Jedes Programm kann als 
ganzes oder in Teilen einen Teil des Systems umfassen oder 
auf dem System in einer konventionelien Weise gespeichert 
sein, oder es kann als ganzes oder in Teilen in das System 
iiber ein Netzwerk oder andere Mechanismen zur Ubertra- 25 
gung von Information in einer konventionelien Weise be- 
reitgestellt werden. Zusatzhch versteht es sich, daB das Sy- 
stem betrieben und/oder auf andere Art und Weise mittels 
Information gesteuert werden kann, welche durch einen Be- 
diener mittels Bedienereingaheelementen (nicht gezeigt) be- 30 
reitgestellt wird, welche direkt an das System angeschlossen 
sein konnen oder welche die Information iiber ein Netzwerk 
oder andere Mechanismen zur Ubertragung von Information 
in einer konventionelien Weise ubertragen konnen. 

Die vorstehende Beschreibung hat sich auf ein spezifi- 35 
sches Ausfuhrungsbeispiel der Erfindung bezogen. Es ver- 
steht sich jedoch, daB verschiedene Variationen und Modifi- 
kationen der Erfindung gemacht werden konnen, bei wel- 
chen einige oder alle der Vorteile der Erfindung erreicht 
werden. Dicsc und andere Variationen und Modifikationcn 40 
fallen in den Schutzbereich der vorliegenden Erfindung, der 
durch die nachfolgenden Anspriiche bestimmt ist. 

Patcntanspriichc 

45 

1. System umfassend ein virtuelles privates Netzwerk 
(15) und eine exteme Vorrichtung (12 (in)), welche 
iiber ein digitales Netzwerk (14) kommunizieren, wo- 
bei: 

das virtuelle private Netzwerk (15) eine Firewall (30), 50 
wenigstens eine interne Vorrichtung (31(s)) und einen 
Namen-Server (32) aufweist, welche jeweils eine Netz- 
werkadresse besitzen, wobei die interne Vorrichtung 
(31(s)) auch eine Sekundaradresse besitzt und der Na- 
men-Server (32) derart konfiguriert ist, daB er eine Zu- 55 
ordnung zwischen der Sekundaradresse und der Netz- 
werkadresse bereitstellt, 

die Firewall (30) derart konfiguriert ist, daB sie der ex- 
temen Vorrichtung (12(m)) in Reaktion auf deren An- 
frage zum Aufbau einer Verbindung zur Firewall (30) 60 
die Netzwerkadresse des Namen-Servers (32) liefert, 
und 

die externe Vorrichtung (12(m)) derart konfiguriert ist, 
daB sie in Reaktion auf eine Anfrage zum Zugriff auf 
die interne Vorrichtung (31(s)), welche die Sekunda- 65 
radresse der internen Vorrichtung (31(s)) enthalt, eine 
Netzwerkadressen-Anfragenachricht zur Obertragung 
uber die Verbindung an die Firewall (30) erzeugt, wel- 
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che eine Auflosung der der Sekundaradresse zugeord- 
neten Netzwerkadresse anfordert, wobei die Firewall 
(30) derart konfiguriert ist, daB sie die Adressenauflo- 
sungsanfrage an den Namen-Server (32) ubennittelt, 
der Namen-Server (32) derart konfiguriert ist, daB er 
die der Sekundaradresse zugeordnete Netzwerkadresse 
bereitstellt, und die Firewall (30) daraufhin die Netz- 
werkadresse in einer Netzwerkadressen-Antwortnach- 
richt zur Ubertragung uber die Verbindung an die ex- 
terne Vorrichtung (12(m)) bereitstellt. 

2. System nach Anspruch 1, bei welchem die externe 
Vorrichtung (12(m)) derart konfiguriert ist, daB sie die 
in der Netzwerkadressen-Antwortnachricht bereitge- 
stellte Netzwerkadresse beim Erzeugen von wenig- 
stens einer Nachricht zur Ubertragung an die interne 
Vorrichtung (31(s)) verwendet. 

3. System nach Anspruch 1 oder 2, bei welchem die 
externe Vorrichtung (12(m)) derart konfiguriert ist, daB 
sie mit dem Netzwerk (14) durch einen Netzwerk-Ser- 
vice-Provider (11) verbunden wird. 

4. System nach Anspruch 3, bei welchem die externe 
Vorrichtung (12(m)) derart konfiguriert ist, daB sie eine 
Kommunikationssitzung mit dem Netzwerk-Service- 
Provider (11) aufbaut, wobei der Netzwerk-Service- 
Provider (11) der externen Vorrichtung (12(m)) die 
Identifizierung eines weiteren Namen-Servers ubermit- 
telt, wobei der weitere Namen-Server derart konfigu- 
riert ist, daB er eine Zuordnung zwischen einer Sekun- 
daradresse und einer Netzwerkadresse fur wenigstens 
eine Vorrichtung bereitstellt 

5. System nach einem der vorstehenden Anspriiche, 
bei welchem die externe Vorrichtung (12(m)) derart 
konfiguriert ist, daB sie eine Liste von Namen-Servern 
erhalt, welche der externen Vorrichtung (12(m)) identi- 
fiziert wurden, und die externe Vorrichtung (12(m)) die 
Namen-Server in der Liste nacheinander in Reaktion 
auf eine Anfrage zum ZugrifT auf eine andere Vorrich- 
tung abfragt, wobei die Anfrage eine Sekundaradresse 
der anderen Vorrichtung enthalt, solange bis die ex- 
terne Vorrichtung (12(m)) cine Netzwerkadresse cmp- 
fangt, wobei die externe Vorrichtung (12(m)) in jedem 
Abfragevorgang eine Netzwerkadressen-Anfrages- 
nachricht zur Ubertragung uber das Netzwerk (14) er- 
zeugt, welche durch einen der Namcn-Scrvcr in der Li- 
ste zu beantworten ist, und von diesem eine Netzwerk- 
adressen- Antwortnachricht empfangt. 

6. System nach einem der vorstehenden Anspriiche, 
bei welchem die Verbindung zwischen der externen 
Vorrichtung (12(m)) und der Firewall (30) ein Sicher- 
heitstunnel ist, in welchem wenigstens ein der zwi- 
schen der externen Vorrichtung (12(m)) und der Fire- 
wall (30) iibertragenen Nachrichten verschlusselt ist 

7. Verfahren zum Betreiben eines Systems umfassend 
ein virtuelles privates Netzwerk (15) und eine externe 
Vorrichtung (12(m)), welche durch ein digitales Netz- 
werk (14) miteinander verbunden sind, wobei das vir- 
tuelle private Netzwerk (15) eine Firewall (30), wenig- 
stens eine interne Vorrichtung (31(s)) und einen Na- 
men-Server (32) aufweist, welche jeweils eine Netz- 
werkadresse besitzen, wobei die interne Vorrichtung 
(31(s)) auch eine Sekundaradresse besitzt, und der Na- 
men-Server (32) derart konfiguriert ist, daB er eine Zu- 
ordnung zwischen der Sekundaradresse und der Netz- 
werkadresse bereitstellt, wobei: 

A. in Reaktion auf eine Anfrage der extemen 
Vorrichtung (12(m)) zum Aufbau einer Verbin- 
dung zur Firewall (30) die Firewall (30) der exter- 
nen Vorrichtung (12(m)) die Netzwerkadresse des 
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Namen-Servers (32) ubermittelt; und 
B. (i) in Reaktion auf eine Anfrage zum Zugriff 
auf die interne Vorrichtung (31(s)), welche die Se- 
kundaradresse der internen Vorrichtung (31(s)) 
enthalt, die exteme Vorrichtung (12(m)) eirie 5 
Netzwerkadressen-Anfragenachricht zur ttbertra- 
gung uber die Verbindung an die Firewall (30) er- 
zeugt, welche eine Auflosung der Netzwerk- 
adresse, welche der Sekundaradresse zugeordnet 
ist, anfordert, 10 
(ii) die Firewall (30) die Adressenauflosungsan- 
frage an den Nanien-Server (32) ubermittelt, (iii) 
der Nanien-Server (32) die der Sekundaradresse 
zugeordnete Netzwerkadresse bereitsteilt, und 
(iv) die Firewall (30) die Netzwerkadresse in ei- 15 
ner Netzwerkadressen-Antwortnachricht zur 
Obertragung iiber die Verbindung an die externe 
Vorrichtung (12(m)) bereitsteilt. 

8. Verfahren nach Anspruch 7, bei welchem die ex- 
terne Vorrichtung (12((rn) ferner die in der Netzwerk- 20 
adressen-Antwortnachricht bereitgestellte Netzwerk- 
adresse beim Hrzeugen von wenigstens einer Nachricht 
zur Ubertragung an die interne Vorrichtung (31(s)) ver- 
wendet 

9. Verfahren nach Anspruch 7 oder 8, bei welchem die 25 
externe Vorrichtung (12(m)) mit dem Netzwerk (14) 
durch einen Netzwerk-Service-Provider (11) verbun- 
den werden kann. 

10. Verfahren nach Anspruch 9, bei welchem die ex- 
terne Vorrichtung (12(m)) eine Kommunikationssit- 30 
zung mit dem Netzwerk-Service-Provider (11) aufbaut, 
wobei der Netzwerk-Service-Provider (U) der exter- 
nen Vorrichtung (12(m)) die Identifizierung eines wei- 
teren Namen-Servers ubermittelt, wobei der weitere 
Namen-Server eine Zuordnung zwischen einer Sekun- 35 
daradresse und einer Netzwerkadresse fur wenigstens 
eine Vorrichtung bereitsteilt. 

11. Verfahren nach einem der Anspriiche 7 bis 10, bei 
welchem die externe Vorrichtung (12(m)) eine Liste 
von Namcn-Scrvcrn crhalt, welche der cxtcmcn \for- 40 
richtung (12(m)) identifiziert wurden, und die externe 
Vorrichtung (12(m)) die Namen-Server in der Liste 
nacheinander in Reaktion auf eine Anfrage zum Zu- 
griff auf cine andcrc Vorrichtung abfragt, wobei die 
Anfrage eine Sekundaradresse der anderen Vorrichtung 45 
enthalt, solange bis die exteme Vorrichtung (12(m)) 
eine Netzwerkadresse empfangt, wobei die exteme 
Vorrichtung (12(m)) in jedem Abfragevorgang eine 
Netzwerkadressen-Anfragenachricht zur Ubertragung 
uber das Netzwerk (14) erzeugt, welche durch einen so 
der Namen-Server in der Liste zu beantworten ist, und 
von diesem eine Netzwerkadressen-Antwortnachricht 
empfangt. 

12. Verfahren nach einem der Anspriiche 7 bis 11, bei 
welchem die Verbindung zwischen der externen Vor- 55 
richtung (12(m)) und der Firewall (30) ein Sicherheits- 
tunnel ist, in welchem wenigstens ein Abschnitt der 
zwischen der externen Vorrichtung (12(m)) und der Fi- 
rewall (30) ubertragenen Nachrichten verschlusselt ist. 

13. Computerprogramm-Produkt zur gemeinsamen 60 
Verwendung mit einem virtuellen privaten Netzwerk 
(15) und einer externen Vorrichtung (12(m)), welche 
durch ein digitales Netzwerk (14) miteinander verbun- 
den sind, wobei das virtuelle private Netzwerk eine Fi- 
rewall (30), wenigstens eine interne Vorrichtung 65 
(31(s)) und einen Namen-Server (32) aufweist, welche 
jeweils eine Netzwerkadresse besitzen, wobei die in- 
terne Vorrichtung (31(s)) auch eine Sekundaradresse 
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besitzt, und der Namen-Server (32) derart konfiguriert 
ist, daB er eine Zuordnung zwischen der Sekundarad- 
resse und der Netzwerkadresse bereitsteilt, wobei das 
Computerprogrammprodukt ei n maschinenlesbares 
Medium mit folgenden Codes aufweist: 

A. ein Namen-Server-Identifizierungscodemo- 
dul, welches veranlafit, daB die Firewall (30) der 
externen Vorrichtung (12(m)) in Reaktion auf de- 
ren Anfrage zum Aufbau einer Verbindung zur Fi- 
rewall (30) die Netzwerkadresse des Namen-Ser- 
vers (32) ubermittelt, 

B. ein Codemodul zur Erzeugung einer Netz- 
werkadressen-Anfragenachricht, welches veran- 
laBt, daB die externe Vorrichtung (12(m)) in Reak- 
tion auf eine Anfrage zum Zugriff auf die interne 
Vorrichtung (31(s)), welche die Sekundaradresse 
der internen Vorrichtung (31(s)) enthalt, eine 
Netzwerkadressen-Anfragenachricht zur Ubertra- 
gung uber die Verbindung an die Firewall (30) er- 
zeugt, welche die Auflosung der der Sekundarad- 
resse zugeordneten Netzwerkadresse anfordert, 

C. ein Modul zur Ubermittlung einer Adressen- 
auflosungsanfrage, welches veranlafit, daB die Fi- 
rewall (30) die Adressenauflosungsanfrage an den 
Namen-Server (32) ubermittelt, 

D. ein Namen-Server-Steuerungsmodul, welches 
veranlaBt, daB der Namen-Server (32) die der Se- 
kundaradresse zugeordnete Netzwerkadresse be- 
reitsteilt, und 

E. ein Modul zur Ubermittlung einer Netzwerk- 
adressen-Antwortnachricht, welches veranlafit, 
daB die Firewall (30) die Netzwerkadresse in einer 
Netzwerkadressen-Antwortnachricht zur Ubertra- 
gung uber die Verbindung an die externe Vorrich- 
tung (12(m)) bereitsteilt. 

14. Computerprogramm-Produkt nach Anspruch 13, 
welches ferner ein Netzwerkadressenverwendungsmo- 
dul aufweist, welches veranlafit, daB die externe Vor- 
richtung (12(m)) die in der Netzwerkadressen-Ant- 
wortnachricht ubcrmittcltc Netzwerkadresse beim Er- 
zeugen von wenigstens einer Nachricht zur Ubertra- 
gung an die interne Vorrichtung (31(s)) verwendet. 

15. Computerprogramm-Produkt nach Anspruch 13 
oder 14, welches ferner ein Nctzwcrk-Scrvicc-Provi- 
der-Steuerungsmodul aufweist, welches veranlafit, daB 
die exteme Vorrichtung (12(m)) mit dem Netzwerk 
(14) durch einen Netzwerk-Service-Provider (11) ver- 
bunden wird. 

16. Computerprogramm-Produkt nach Anspruch 15, 
bei welchem das Netzwerk-Service-Provider-Steue- 
rungsmodul ein Koimnunikationssitzungsaufbaumodul 
umfafit, welches veranlafit, daB die externe Vorrichtung 
(12(m)) mit dem Netzwerk-Service-Provider (11) eine 
Kommunikationssitzung aufbaut und von diesem eine 
Identifizierung von einem weiteren Namen-Server 
empfangt. 

17. Computerprogramm-Produkt nach einem der An- 
spriiche 13 bis 16, welches ferner ein Namen-Server- 
Abfragesteuerungsmodul aufweist, welches veranlaBt, 
daB die exteme Vorrichtung (12(m)) eine Liste von Na- 
men-Servem erhalt, welche der externen Vorrichtung 
(12(m)) identifiziert wurden, und die Namen-Server in 
der Liste nacheinander in Reaktion auf eine Anfrage 
zum Zugriff auf eine andere Vorrichtung abfragt, wobei 
die Anfrage eine Sekundaradresse der anderen Vorrich- 
tung enthalt, solange bis die exteme Vorrichtung 
(12(m)) eine Netzwerkadresse empfangt, und wobei 
die exteme Vorrichtung (12(m)) in jedem Abfragevor- 
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gang eine Netzwerkadressen-Anfragesnachricht zur 
ttbertragung iiber das Netzwerk (14) erzeugt, welche 
durch einen der Namen-Server in der Liste zu beant- 
worten ist, und von diesem eine Netzwerkadressen- 
Antwortnachricht empfangt. 

18. Computerprogramrn-Produkt nach einem der An- 
spriiche 13 bis 17, bei welchem die Verbindung zwi- 
schen der externen Vorrichtung (12(m)) und der Fire- 
wall (30) ein Sicherheitstunnel ist, in welchem wenig- 
stens ein Abschnitt der zwischen der extemen Vorrich- 
tung (12(m)) und der Firewall (30) iibertragenen Nach- 
richten verschliisselt ist. 
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